Dieses Blog durchsuchen

Dienstag, 20. September 2016

E-Commerce: Was tun, wenn der Provider Passworte per Mail sendet

Eine interessante Frage und ehrlich gesagt bis vorgestern konnten wir uns gar nicht vorstellen, dass ein Provider wirklich auf diese sinnige Idee kommt. Der Hammer ist aber die Ausrede, die dann  darauf angesprochen ein Servicemitarbeiter des Providers von sich gab. Er schrieb sinngemäß:

"Es handele sich in diesem Fall nicht um ein sicherheitskritisches Passwort, welches Zugang zu schützenswerten Daten gewähre, sondern wohl eher um die Ausnutzung einer Sicherheitslücke zu verhindern" usw. usf. bla, bla, bla.

Wirklich selten so gelacht, kann man da nur noch sagen. Erst sperrt der Provider ohne Rechtsgrundlage einem gleich den ganzen online shop, begründet dies mit Gründen der Datensicherheit und redet sich nun heraus, dass das ja anscheinend gar nicht sooo kritisch war.

Denn konkret gelten doch bei jedem Angriff auf ein Serversystem diese Grundregeln:

  1. Ein bereits wie auch immer erfolgter Angriff lässt doch sehr sicher den Schluß zu, dass der Angreifer den Server auf dem Kiecker hat, wie der Berliner in solchen Fällen zu sagen pflegt.
  2. So wird natürlich dem Angreifer auffallen, dass dieser plötzlich Paßwort geschützt ist.
  3. Wenn der Angreifer nun schon den Server auf dem Kiecker hat, dann kann niemand ausschließen, dass nicht Mails, die über diesen Server vom Angreifer laufen mitgelesen werden. Es ist ja ein offensichtliches Sicherheitsleck vorhanden, sonst hätte ja der Angreifer nicht angreifen können.
  4. Wenn nun aber latent die Möglichkeit besteht, dass der Angreifer Mails mitliest, dann kommt er natürlich so auch an das unverschlüsselt übermittelte Passwort.
  5. Der Rest ist dann ganz einfach erklärt: Er baut das Passwort in sein Skript ein, so loggt sich der Angreifer per Skript ein und treibt weiter sein Unwesen.
 Ein regelrechter Treppenwitz im Zuge dessen übrigens die Empfehlung des Providers potentielle Angriffe durch ein CAPTCHA zu schützen, aber eben selbst nicht einmal auf die Idee zu kommen, dies in die zeitweilige Sperrung einzubauen. CAPTCHA einbauen dauert übrigens für einen guten Techniker maximal zwei Schluck aus der neben der Tastatur stehenden Kaffeetasse. Ist also im Zuge einer Sperrung ein Klacks. So zeigen sich im Zuge gestriger Betrachtung zur Frage, ob ein Provider einfach so einen Server sperren kann offensichtlich weitere Defizite.  Im Kontext dessen, dass gleicher Provider gar noch kund tat, dass er offensichtlich zuviel Zeit am Telefon mit Kunden verplembert, wir berichteten, fragt man sich dann schon wie so manch Provider an Auszeichnungen kommt, die er stolz auf seiner Homepapge präsentiert.

So etwas kennt man ja eigentlich nur aus der DDR. Da gab es zwar noch kein Internet nur liefen dort auch so manche Kader mit einem Schild wOh auf der Brust herum und sobald sie den Mund aufmachten, stellte man fest: "Mal wieder mehr Schein als Sein." WOh heißt übrigens weitere Orden hinten.

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.