WO-Sicherheitslücke Siehe auch Internet-Adresse: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/… Durch einen Fehler im Anmelde-Skript war es möglich, beliebige Benutzerdaten bei Wallstreet-Online einzusehen und zu verändern. Ein aufmerksamer c`t-Leser und Benutzer von Wallstreet-Online entdeckte die Sicherheitslücke bei dem deutschen Online-Börsendienst. Durch einfaches Eingeben einer beliebigen Benutzerkennung (UserID) als Teil der URL für die Web-Seite mit den persönlichen Einstellungen erlangte man Zugriff auf alle Benutzerdaten des jeweiligen Kontos. Die UserIDs bestanden bislang aus einfachen Nummern und ließen sich beispielsweise in den Boards und Chat-Foren auch für spezielle Nutzer herausfinden. Da bei dem Service für Realtime-Börsendaten die Eingabe von Adresse und Telefonnummer Pflicht ist, konnten auch diese Angaben der Benutzer ausgelesen werden. Weiterhin war es möglich, alle Benutzerdaten zu ändern und das Passwort im Klartext über den Quell-Code der Internet-Seite zu erfahren. Nachprüfungen durch c`t ergaben, dass dies tatsächlich für beliebige User möglich war, auch für den Domain-Verwalter von Wallstreet-Online selbst. Der Fehler schlich sich ein, als das Unternehmen vor zwei Tagen ein neues Anmeldeverfahren eingeführt hat. Wallstreet-Online hat die Sicherheitslücke auf Grund des Hinweises von c`t umgehend geschlossen. (pab/c`t) |
|
aus der Diskussion: | WO-Sicherheitslücke |
Autor (Datum des Eintrages): | ERNTE 23 (23.03.00 08:54:32) |
Beitrag: | 1 von 16 (ID:678300) |
Alle Angaben ohne Gewähr © wallstreetONLINE |