Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:
Der CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.
Konkret hat es sich um folgende Schwachstellen gehandelt:
- Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
- Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
- Eingabedaten wurden ungefiltert an die Datenbank übertragen.
Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:
- Passwörter wurden mit dem ILIKE-Operator überprüft.
Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.
Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:
“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”
Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?
“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?
Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.
Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.
So etwas darf definitiv nicht passieren.