Sicherheitslücke bei Wallstreet-Online - 500 Beiträge pro Seite

Hallo,

koennte mir bitte jemand von der Redaktion mal wieder meinen Namen "Mike_" freischalten, bzw. das Passwort zuruecksetzen und das neue Passwort an mich schicken. Falls irgendjemand auch meine email-Adresse geaendert hat, schickt es an die in diesem account genannte. Die email Adresse muesste jeh....@gmx.net oder Dezemb...@... sein.

Falls jetzt irgendjemand sagt, der hat nur sein Passwort vergessen oder aehnliches, prinzipiell wuerde ich das ja nicht ausschliessen, aber ich habe es abgespeichert und muss es gar nicht angeben. (Ja ich weiss, soll man nicht aus Sicherheitsgruenden)

Vielen Dank.
Mike

PS: Waere es nicht gut gewesen, man haette mal die Mitglieder gewarnt?


Hintergund, Quelle Heise Verlag:

Sicherheitslücke bei Wallstreet-Online

Durch einen Fehler im Anmelde-Skript war es möglich, beliebige Benutzerdaten bei Wallstreet-Online einzusehen und zu verändern.

Ein aufmerksamer c`t-Leser und Benutzer von Wallstreet-Online entdeckte die Sicherheitslücke bei dem deutschen Online-Börsendienst. Durch einfaches Eingeben einer beliebigen Benutzerkennung (UserID) als Teil der URL für die Web-Seite mit den persönlichen Einstellungen erlangte man Zugriff auf alle Benutzerdaten des jeweiligen Kontos. Die UserIDs bestanden bislang aus einfachen Nummern und ließen sich beispielsweise in den Boards und Chat-Foren auch für spezielle Nutzer herausfinden.

Da bei dem Service für Realtime-Börsendaten die Eingabe von Adresse und Telefonnummer Pflicht ist, konnten auch diese Angaben der Benutzer ausgelesen werden. Weiterhin war es möglich, alle Benutzerdaten zu ändern und das Passwort im Klartext über den Quell-Code der Internet-Seite zu erfahren. Nachprüfungen durch c`t ergaben, dass dies tatsächlich für beliebige User möglich war, auch für den Domain-Verwalter von Wallstreet-Online selbst.

Der Fehler schlich sich ein, als das Unternehmen vor zwei Tagen ein neues Anmeldeverfahren eingeführt hat. Wallstreet-Online hat die Sicherheitslücke auf Grund des Hinweises von c`t umgehend geschlossen

http://www.heise.de/newsticker/data/pab-09.03.00-002/

Hallo Mike

bitte kurze mail mit Adresse und altem Passwort an [email]t.leber@wallstreet-online[/email].

Wir kümmern uns sofort darum.

mfg Thomas Leber

Die Sicherheitslücke wurde bereits vor Veröffentlichung des Artikels geschlossen. Sie bestand nur für kurze Zeit und trat im Rahmen einer Überarbeitung der Software auf. Die User, die diese Lücke entdeckt haben, hegten laut eigener Aussage keinerlei manipulative Absichten und haben uns auf den Fehler aufmerksam gemacht. Falls jemand trotzdem Befürchtungen bezüglich seiner Daten hat, bitte wir Ihn sein Passwort zu ändern.

Grundsätzlich raten wir dazu Passwörter regelmäßig zu ändern und möglichst lange und nicht aus der UserID herleitbare Passwörter zu benutzen.

Thomas Leber
Redaktion WO

Nunja, ich will ja gar nicht unterstellen, dass die Mitglieder, die Euch das Sicherheitsloch gemeldet haben, Boeses hegten, aber wer sowas plant oder durchfuehrt, der wird sich und das Sicherheitsloch auch nicht melden, oder? Und was vorher war, weiss man ja nicht.

Egal, vielen Dank Thomas fuer die schnelle Reaktion.
Wie man sieht geht es nun wieder.