Wenn 2 sich streiten ...

Bjoern, Daene, Mitmieter in meiner Bürogemeinschaft und Chefe von Instadia Deutschland hat sehr gelacht, als ich ihn auf einen Eintrag im e-commerce-blog hinwies: Da hat die Fa. Webeffekt der Fa. Etracker doch mittels einer kleinen Pressemitteilung vom 25.01.06 kräftig ans Bein gepieselt:

eTracker-Kundendaten über Google für Unbefugte einsehbar
Webeffekt AG deckt Sicherheitslücke auf

Dinslaken (pts/25.01.2006/11:00) - Die Webeffekt AG, Dinslaken, vermeldet hiermit eine das Logfile-Analyse-Programm "eTracker" betreffende Sicherheitslücke.

Logfile-Analyseprogramme geben Auskunft über den Erfolg einer Homepage, so z.B. über die Anzahl der Besucher oder Seitenabrufe. Zugriff auf diese Daten seiner Wettbewerber zu erhalten, wäre für viele Unternehmen von höchstem Interesse. Zumindest wenn Wettbewerber ihre Auswertungen über eTracker beziehen, ist dies häufig problemlos möglich.

Der unfreiwillige Helfer ist ausgerechnet Google. Google hat in seine Datenbestände nicht nur eTracker URLs aufgenommen, sondern die Zugangsdaten direkt mitindexiert. Durch Klick auf eine entspreche Verlinkung (siehe Screenshot) werden die Logins an eTracker übergeben. Anschließend befindet man sich direkt in einem Kundenkonto und kann in diesem wie der eigentlich autorisierte eTracker-Kunde sämtliche gesammelten Informationen der jeweiligen Homepage abrufen.

Das fanden die Leute von etracker nun irgendwie nicht so richtig gut, eigentlich sogar richtig fies und gemein, und sahen sich veranlasst mit mehreren "News" zu reagieren:

Webeffekt AG versucht etracker Richtigstellung zu verhindern

vom 26.01.2006

Mit der Löschung unseres Beitrags zur Richtigstellung aus dem in der Falschmittelung der Webeffekt AG referenzierten Forum, versucht die Webeffekt AG die Offenlegung ihrer Fehler zu verhindern und unterbindet die freie Meinungsäußerung.

Webeffekt AG legt falsche 'Beweise' vor

vom 27.01.2006

Die Webeffekt AG, vertreten durch den Vorstand Robert Biermann, versucht seit dem heutigen Tag die Öffentlichkeit durch falsche "Beweise" zu irritieren.

Herr Biermann legt als "Beweis" für ein vermeintliches Sicherheitsleck eine URL vor, die in die Statistik des etracker Kunden newscXXXX.de führt (Anm.:Kunden-URL gekürzt).
In der Tat ist über die besagte URL ein Vollzugriff auf die Statistikdaten des Kunden möglich. Bei der besagten URL handelt es sich nämlich um eine sog. Direct-Login URL. Diese URL kann jeder etracker Kunde erzeugen, um ohne Angabe von Login und Passwort direkten Zugriff auf seine Statistikdaten zu erhalten. Diese URL ist genauso geheim zu halten, wie Login und Passwort selbst. Wird eine solche URL veröffentlicht, so hat dies den gleichen Effekt, wie Login und Passwort zu veröffentlichen oder Dritten zugänglich zu machen. Genau dies ist im o.g. Fall geschehen und die Direct-Login URL wurde von Google indexiert und ermöglicht es so Dritten auf die Statistikdaten zuzugreifen.

Dieser fahrlässige Umgang mit sicherheitskritischen Informationen stellt kein Problem bei etracker dar, sondern liegt einzig und alleine in der Verantwortung des Kunden. Der Fall ist vergleichbar mit der Internetveröffentlichung von Online-Banking PIN und TAN seitens des Bankkunden bei gleichzeitiger Anklage der Bank, die Systeme seien nicht sicher, weil im Internet Daten für den Zugriff auf das Kundenkonto zu finden seien.

Wir weisen nochmals und ausdrücklich darauf hin, dass die etracker Systeme bei sachgemäßem Umgang mit Logindaten absolut sicher sind. Bei einer aktuellen Kundenbasis von über 35.000 Kunden kann jedoch eine Fahrlässigkeit seitens des Kunden nie ausgeschlossen werden, so dass ggf. vereinzelt Logindaten oder Direct-Login URLs im Internet zu finden sind.

Bjoern jedenfalls (und jetzt bitte zwischen den Zeilen lesen) hat noch am selben Tag sehr sehr sehr wichtige Erkenntnisse über interessante Zielkunden erhalten.