WO-Sicherheitslücke - 500 Beiträge pro Seite

WO-Sicherheitslücke

Siehe auch Internet-Adresse:

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/…


Durch einen Fehler im Anmelde-Skript war es möglich, beliebige Benutzerdaten bei Wallstreet-Online
einzusehen und zu verändern.

Ein aufmerksamer c`t-Leser und Benutzer von Wallstreet-Online entdeckte die Sicherheitslücke bei dem
deutschen Online-Börsendienst. Durch einfaches Eingeben einer beliebigen Benutzerkennung (UserID) als
Teil der URL für die Web-Seite mit den persönlichen Einstellungen erlangte man Zugriff auf alle
Benutzerdaten des jeweiligen Kontos. Die UserIDs bestanden bislang aus einfachen Nummern und ließen
sich beispielsweise in den Boards und Chat-Foren auch für spezielle Nutzer herausfinden.

Da bei dem Service für Realtime-Börsendaten die Eingabe von Adresse und Telefonnummer Pflicht ist,
konnten auch diese Angaben der Benutzer ausgelesen werden. Weiterhin war es möglich, alle
Benutzerdaten zu ändern und das Passwort im Klartext über den Quell-Code der Internet-Seite zu
erfahren. Nachprüfungen durch c`t ergaben, dass dies tatsächlich für beliebige User möglich war, auch für
den Domain-Verwalter von Wallstreet-Online selbst.

Der Fehler schlich sich ein, als das Unternehmen vor zwei Tagen ein neues Anmeldeverfahren eingeführt
hat. Wallstreet-Online hat die Sicherheitslücke auf Grund des Hinweises von c`t umgehend geschlossen.
(pab/c`t)

Hoffentlich ist der Fehler jetzt endlich behoben.

critiger

Aber Hallo,

so langsam ist aber eine Stellungnahme von WO erwünschenswert.

cmjs

Hallo,

schau mal auf das Datum der Meldung (09.03.00). Deine Recherche kommt etwas spät. Die Sache ist längst geklärt...

mfg

Acrobat

Ich habe es nochmal genau gelesen, aber irgendwie kapier ich das
nicht. Muss ich vielleicht auch nicht, bin leider auch kein Profi
in Sachen Computer.

critiger

an acrobat,

lieber mehrere Nicknamen als eine Sicherheitslücke im Netz

Hallo,

zu den Nicknamen mal was gesagt. Wieviel Nicknamen hat eigendlich WO
und schreibt da mit. Das weiss doch auch keiner.

Hinter welchem Nicknamen verbirgt sich die Aktienfirma, die Ihre
eigene Aktien hochpushen will.

Gruss drreal

Sicherheitslücken,

wenn das alles nicht so Sicher ist, wie ist dann erst das Web.
Weiss man da denn alles über den User.

MFG

EXTRALORD

Hallo Aktienliebhaber,

anbei die wahrscheinlichen Nicknamen der Wallstreet-Online-Redaktion
oder denjenigen, die für WO arbeiten:

illwitz
Knifecatcher
Jeff Mills
acmuc
Redaktion WO
for4zim
acrobat

Anbei die wichtigsten Sicherheitsbestimmungen von WO

3.Die Beiträge oder einzelne Passagen welche urheberrechtlich geschützt sind, bedürfen der Zustimmung des Urhebers.
4.Das Verbreiten von Verleumdungen, ruf- oder geschäftsschädigenden Aussagen, Junkmails, Spams, Kettenbriefe sowie
ähnlichen Inhaltes mit werbendem Charakter ist untersagt.

ERNTE 23

Also, die AGB´s sind doch absolut nicht aussagekräftig.
Oder?

EXTRALORD

Also Leute,

wenn das hier ausartet, bleibe ich nicht länger bei WO.

Gruss drreal

Wo ist denn der Bericht mit der falschen Redaktion WO hin.
Wurde der jetzt auch gelöscht.

critiger

Warum sucht Ihr euch nicht ein anderes Board anstatt so einen Schwachsinn zu verbreiten?
So viele Einfaltspinsel wie in den Loardextra Threads sind mir bei WO noch nie begegnet.

Hi,

aber positiv ist, dass WO den Fehler zugibt, das find ich Klasse.

EXTRALORD

WO hat bisher immer alle Entscheidungen und Probleme transparent gelöst.
Sogar die Gestaltung des Boards wurde immer wieder demokratrisch vorgenommen.
Sowas gibts in keinem anderen Board.
Leider wird das wohl durch die Größe nicht mehr ganz so funktionieren.

Aber bevor einige Newbies Unsinn von sich geben sollten sie sich erstmal ein paar Monate eine Meinung bilden.

Grüße
arkun