Lonesome Walker

Wie wenn der Ruf der IT-Fachleute nicht schon schlecht genug ist…

Bereits letztes Jahr im Juli habe ich Kontakt mit experto.de aufgenommen, da mir etwas aufgefallen ist, was so nicht sein sollte/darf.
Damals hat der Support schon träge reagiert, aber er hat wenigstens reagiert.

Jetzt ist es so, daß ich am 13.01.09 auf XING ins Experto-Forum einen Hinweis an die User geschrieben habe, denn experto.de hat einige Sicherheitslücken, und die Privatdaten der User sind alles andere als unter Verschluß.

Das war vor 1 Woche.
Ich habe mit dem Verantwortlichen gesprochen, und es wurde Verbesserung versprochen.

Nun, ich kann nur sagen, Stand heute, 21.01.2009 14:40 Uhr, dem ist nicht so.

Daher bitte ich alle User, das vorhandene Passwort auf dieser Plattform UMGEHEND auf ein belangloses Kennwort zurückzusetzen, und ebenfalls die persönlichen Daten aus dem Profil zu entfernen.

Warum?
Man hat doch nichts zu verheimlichen…?

DOCH!
Seine Identität!

Ich wette hier einen Kasten Bier für jeden User auf experto.de, daß die Daten, an die man als normales Script-Kiddie im Moment dran kommt, ausreichen, um mehr als 100 Identitäten zu übernehmen.
Leute, die mich kennen, wissen, daß die Aussagen, die ich öffentlich treffe, bullet-proof sind, und ich diesbzgl. auch Beweise liefern kann.

Heute ist wieder einer der Tage, an denen ich an der Zurechnungsfähigkeit von Institutionen zweifle…

Die Robinsonliste war ursprünglich ein Projekt, um den Verbraucher gegen unerwünschten SPAM zu schützen.

Mittlerweile ist sie in meinen Augen aber zur Lachnummer degradiert.
Erstens kostet es die Firma, die (freiwillig) ihren Adressbestand gegen die Robinson-Liste abgleichen will, viel Geduld, und dann auch noch viel Geld.
Wird ja nach Email-Adressen abgerechnet, und das mindeste sind dann schon mal 20 Euro/Monat für 50.000 Adressen, 35 Euronen/Monat für 250.000 Adressen, und danach wird geschachert (Stand 12.10.08).

Toll, einfach geil, weil wenn ich mir so ansehe, was die meisten Mailings ausmachen, hatte ich noch nie eines unter 500.000 Email-Adressen gesehen.
Okay, die kleinen „Trödler“ oder exakt definierten Zielgruppen-Mailer haben unter 50.000, aber die brauchen sich um das Thema Spam und Abmahnung meist keine Sorgen zu machen.

Ja, also, was macht man dann als Firma mit einem Adressbestand von ca. 2 Mio. Daten, die einen jahrelanges Sammeln und evtl. Einkaufskosten beschert haben?

Das Risiko einer Abmahnung eingehen, oder dem Robinson-Abgleich das Geld in den Rachen werfen?
Naja, ein Bekannter von mir hat für seine Marketing-Butze das Minimal-Paket gebucht und mir die *.rob-Datei gegeben.
Da ich anfangs nicht wußte, was das sein soll, war dann so frei, und habe ihm die Rohdaten extrahiert.
Von wegen verschlüsselt, die Leute sollten sich wirklich was besseres einfallen lassen…

Ansatz der Decodierung:

1. Schwachstelle: Software, die das Format lesen kann
Es gibt eine Software, die dieses Format einliest, und dann einen Gegencheck fährt.
Nett, so kann man schon mal davon ausgehen, daß die Daten einfach mittels einem Dump ausgelesen werden können.
Okay, kann nicht jeder, und ist auch nicht soooo einfach gewesen; aber nach 15 Minuten war das fertich.

2. Schwachstelle: die Daten liegen ja in einem gewissen Schema vor
Bedeutet: beim „Brechen“ der Kryptografie (muhahaha, okay, war ein Scherz bei dem Dateiformat) muß man lediglich berücksichtigen, daß das Endresultat IMMER exakt EIN @-Zeichen und MINDESTENS einen Punkt enthält.

Danach ist das Dekodieren sehr einfach, wobei es in diesem Falle dank dem Programm gar nicht nötig war…
(ich würde mich schämen, wenn ich der Programmierer gewesen wäre…)

Hmja, Leute mit (Web-)Programmier-Erfahrung und einem Gespür für Schwachstellen finden hier sicher ein Eldorado vor.

Betreiber heute verständigt, mal gucken, wie schnell reagiert wird…