Sicherheitslücke bei Wallstreet-Online - 500 Beiträge pro Seite
eröffnet am 10.03.00 00:38:07 von
neuester Beitrag 10.03.00 01:14:36 von
neuester Beitrag 10.03.00 01:14:36 von
Beiträge: 4
ID: 91.011
ID: 91.011
Aufrufe heute: 0
Gesamt: 278
Gesamt: 278
Aktive User: 0
Top-Diskussionen
Titel | letzter Beitrag | Aufrufe |
---|---|---|
vor 59 Minuten | 1390 | |
vor 58 Minuten | 1192 | |
vor 16 Minuten | 1066 | |
vor 12 Minuten | 1013 | |
vor 39 Minuten | 770 | |
vor 21 Minuten | 714 | |
vor 3 Minuten | 710 | |
17.05.24, 19:20 | 628 |
Meistdiskutierte Wertpapiere
Platz | vorher | Wertpapier | Kurs | Perf. % | Anzahl | ||
---|---|---|---|---|---|---|---|
1. | 1. | 18.704,42 | -0,18 | 186 | |||
2. | 4. | 6,5320 | -2,74 | 81 | |||
3. | 14. | 20,435 | -19,78 | 73 | |||
4. | 18. | 31,61 | +7,14 | 69 | |||
5. | 6. | 10,700 | +1,71 | 66 | |||
6. | 10. | 16,750 | +4,69 | 47 | |||
7. | 5. | 163,32 | +1,48 | 47 | |||
8. | 3. | 4,0515 | -5,02 | 42 |
Hallo,
koennte mir bitte jemand von der Redaktion mal wieder meinen Namen "Mike_" freischalten, bzw. das Passwort zuruecksetzen und das neue Passwort an mich schicken. Falls irgendjemand auch meine email-Adresse geaendert hat, schickt es an die in diesem account genannte. Die email Adresse muesste jeh....@gmx.net oder Dezemb...@... sein.
Falls jetzt irgendjemand sagt, der hat nur sein Passwort vergessen oder aehnliches, prinzipiell wuerde ich das ja nicht ausschliessen, aber ich habe es abgespeichert und muss es gar nicht angeben. (Ja ich weiss, soll man nicht aus Sicherheitsgruenden)
Vielen Dank.
Mike
PS: Waere es nicht gut gewesen, man haette mal die Mitglieder gewarnt?
Hintergund, Quelle Heise Verlag:
Sicherheitslücke bei Wallstreet-Online
Durch einen Fehler im Anmelde-Skript war es möglich, beliebige Benutzerdaten bei Wallstreet-Online einzusehen und zu verändern.
Ein aufmerksamer c`t-Leser und Benutzer von Wallstreet-Online entdeckte die Sicherheitslücke bei dem deutschen Online-Börsendienst. Durch einfaches Eingeben einer beliebigen Benutzerkennung (UserID) als Teil der URL für die Web-Seite mit den persönlichen Einstellungen erlangte man Zugriff auf alle Benutzerdaten des jeweiligen Kontos. Die UserIDs bestanden bislang aus einfachen Nummern und ließen sich beispielsweise in den Boards und Chat-Foren auch für spezielle Nutzer herausfinden.
Da bei dem Service für Realtime-Börsendaten die Eingabe von Adresse und Telefonnummer Pflicht ist, konnten auch diese Angaben der Benutzer ausgelesen werden. Weiterhin war es möglich, alle Benutzerdaten zu ändern und das Passwort im Klartext über den Quell-Code der Internet-Seite zu erfahren. Nachprüfungen durch c`t ergaben, dass dies tatsächlich für beliebige User möglich war, auch für den Domain-Verwalter von Wallstreet-Online selbst.
Der Fehler schlich sich ein, als das Unternehmen vor zwei Tagen ein neues Anmeldeverfahren eingeführt hat. Wallstreet-Online hat die Sicherheitslücke auf Grund des Hinweises von c`t umgehend geschlossen
http://www.heise.de/newsticker/data/pab-09.03.00-002/
koennte mir bitte jemand von der Redaktion mal wieder meinen Namen "Mike_" freischalten, bzw. das Passwort zuruecksetzen und das neue Passwort an mich schicken. Falls irgendjemand auch meine email-Adresse geaendert hat, schickt es an die in diesem account genannte. Die email Adresse muesste jeh....@gmx.net oder Dezemb...@... sein.
Falls jetzt irgendjemand sagt, der hat nur sein Passwort vergessen oder aehnliches, prinzipiell wuerde ich das ja nicht ausschliessen, aber ich habe es abgespeichert und muss es gar nicht angeben. (Ja ich weiss, soll man nicht aus Sicherheitsgruenden)
Vielen Dank.
Mike
PS: Waere es nicht gut gewesen, man haette mal die Mitglieder gewarnt?
Hintergund, Quelle Heise Verlag:
Sicherheitslücke bei Wallstreet-Online
Durch einen Fehler im Anmelde-Skript war es möglich, beliebige Benutzerdaten bei Wallstreet-Online einzusehen und zu verändern.
Ein aufmerksamer c`t-Leser und Benutzer von Wallstreet-Online entdeckte die Sicherheitslücke bei dem deutschen Online-Börsendienst. Durch einfaches Eingeben einer beliebigen Benutzerkennung (UserID) als Teil der URL für die Web-Seite mit den persönlichen Einstellungen erlangte man Zugriff auf alle Benutzerdaten des jeweiligen Kontos. Die UserIDs bestanden bislang aus einfachen Nummern und ließen sich beispielsweise in den Boards und Chat-Foren auch für spezielle Nutzer herausfinden.
Da bei dem Service für Realtime-Börsendaten die Eingabe von Adresse und Telefonnummer Pflicht ist, konnten auch diese Angaben der Benutzer ausgelesen werden. Weiterhin war es möglich, alle Benutzerdaten zu ändern und das Passwort im Klartext über den Quell-Code der Internet-Seite zu erfahren. Nachprüfungen durch c`t ergaben, dass dies tatsächlich für beliebige User möglich war, auch für den Domain-Verwalter von Wallstreet-Online selbst.
Der Fehler schlich sich ein, als das Unternehmen vor zwei Tagen ein neues Anmeldeverfahren eingeführt hat. Wallstreet-Online hat die Sicherheitslücke auf Grund des Hinweises von c`t umgehend geschlossen
http://www.heise.de/newsticker/data/pab-09.03.00-002/
Hallo Mike
bitte kurze mail mit Adresse und altem Passwort an [email]t.leber@wallstreet-online[/email].
Wir kümmern uns sofort darum.
mfg Thomas Leber
bitte kurze mail mit Adresse und altem Passwort an [email]t.leber@wallstreet-online[/email].
Wir kümmern uns sofort darum.
mfg Thomas Leber
Die Sicherheitslücke wurde bereits vor Veröffentlichung des Artikels geschlossen. Sie bestand nur für kurze Zeit und trat im Rahmen einer Überarbeitung der Software auf. Die User, die diese Lücke entdeckt haben, hegten laut eigener Aussage keinerlei manipulative Absichten und haben uns auf den Fehler aufmerksam gemacht. Falls jemand trotzdem Befürchtungen bezüglich seiner Daten hat, bitte wir Ihn sein Passwort zu ändern.
Grundsätzlich raten wir dazu Passwörter regelmäßig zu ändern und möglichst lange und nicht aus der UserID herleitbare Passwörter zu benutzen.
Thomas Leber
Redaktion WO
Grundsätzlich raten wir dazu Passwörter regelmäßig zu ändern und möglichst lange und nicht aus der UserID herleitbare Passwörter zu benutzen.
Thomas Leber
Redaktion WO
Nunja, ich will ja gar nicht unterstellen, dass die Mitglieder, die Euch das Sicherheitsloch gemeldet haben, Boeses hegten, aber wer sowas plant oder durchfuehrt, der wird sich und das Sicherheitsloch auch nicht melden, oder? Und was vorher war, weiss man ja nicht.
Egal, vielen Dank Thomas fuer die schnelle Reaktion.
Wie man sieht geht es nun wieder.
Egal, vielen Dank Thomas fuer die schnelle Reaktion.
Wie man sieht geht es nun wieder.
Beitrag zu dieser Diskussion schreiben
Zu dieser Diskussion können keine Beiträge mehr verfasst werden, da der letzte Beitrag vor mehr als zwei Jahren verfasst wurde und die Diskussion daraufhin archiviert wurde.
Bitte wenden Sie sich an feedback@wallstreet-online.de und erfragen Sie die Reaktivierung der Diskussion oder starten Sie eine neue Diskussion.
Meistdiskutiert
Wertpapier | Beiträge | |
---|---|---|
47 | ||
30 | ||
18 | ||
17 | ||
16 | ||
15 | ||
13 | ||
11 | ||
9 | ||
9 |
Wertpapier | Beiträge | |
---|---|---|
9 | ||
9 | ||
8 | ||
7 | ||
7 | ||
6 | ||
5 | ||
5 | ||
5 | ||
5 |