#Neuland: Die Sicherheit auf dmexco.de

Hinweis: Diesen Artikel habe ich am 17.09, also einen Tag vor der Dmexco, geschrieben. Leider hat es bis zum 05. Oktober (18 Tage) gedauert, bis die Sicherheitslücken geschlossen worden sind. Um niemanden zugefährden, habe ich mich entschlossen, den Beitrag erst nach dem Schließen der Sicherheitslücken online zu stellen.


Morgen geht es endlich los und die Digital Marketing & EXposition COncerence (DMEXCO) 2013 findet zwei Tage lang in Köln statt. Für mich selber ist es erst die zweite Konferenz überhaupt und die erste Teilnahme bei der DMEXCO. Mein Fazit im Vorfeld: Nicht nur der Bundesregierung kann ein digitalpolitisches Armutszeugnis ausgestellt werden, sondern auch Konferenzen mit lauter Fachleuten scheinen es selber nicht so genau zu nehmen.

Was war passiert?

Heute, einen Tag vor der Konferenz, habe ich mir dann das Konferenzprogramm angeschaut und meine Teilnahme geplant. Im Gespräch mit einem Kollegen über eine bestimmte Veranstaltung habe ich dann Google angeworfen, um diese Veranstaltung schneller in dem Terminkalender zu finden. Was ich da gesehen habe, hat mich aus allen Wolken geworfen.

Hier ein paar ausgewählte Impressionen:

Ordnerliste

Klassischer Fall ovn Information Leakage: Auflistung von Ordnerinhalten ist möglich

Ordnerliste Google

Ein Blick in Google verrät: Es werden die Inhalte von über 600 Ordnern angezeigt

Bilder hochladen

Bilder hochladen scheint ohne Authorisierung möglich zu sein: Ob hier die Dateiendungen korrekt gefiltert werden?

Dateien hochladen

Dateien hochladen scheint nicht zu funktionieren

Inhalte anlegen

Jeder Besucher scheint eigene Unterseiten anlegen zu können. Dabei kann (der Beschriftung nach) auch PHP-Code benutzt werden! Einer Übernahme der Webseite und vollen Zugriff auf die Datenbank würde so nichts mehr im Wege stehen…

Statistik

Auch die Statistik ist für Jedermann und Jederfrau einsehbar

Quellcode

Auch der Quellcode der Webseite liegt in Teilen offen

Damit auch niemand denkt, das ich mir das alles ausgedacht habe, hier noch ein paar Screenshots mit (zensierter) URL-Leiste:

bilderhochladen2

inhalteanlegen2

ordnerliste2

statistik2

SQL Abfragen an die Dmexco-Datenbank

Ebenfalls über eine URL aufrufbar und ohne jeden Passwortschutz war die folgende Seite:

SQL

SQL Abfragen einfach gemacht

Über ein einfaches Eingabeformular konnten SELECT-Abfragen an die Datenbank gesendet werden. Zudem schien die Verbindung über den MySQL-Rootzugang zu laufen, da man Zugriff auf die INFORMATION_SCHEMA-Tabellen und die Tabellen mysql.user möglich war. Die auf dem Screenshot angezeigten Passwörter sind zudem nur mit MD5 gehashed – das reicht heutzutage nicht mehr aus!

Disclaimer: Alle per Screenshot dokumentierten Funktionen waren über Google frei auffindbar und ohne Passwortschutz aufrufbar. Die auf den Screenshots dargestellten Funktionen wie „Bilder hochladen“ oder „Seiten anlegen“ wurden bewusst nicht ausprobiert, um mich selber nicht strafbar zu machen. Meine Kommentare dazu sind aufgrund der Inhalte auf den Seiten entstanden und beinhalten folglich ein gewisses Maß an Spekulation. Die Verantwortlichen wurden auf den Missstand aufmerksam gemacht.

Die Kommunikation mit Dmexco verlief leider nur einseitig und auf eine Antwort warte ich bis heute. Eine bei Sicherheitslücken in dieser Größenordnung aus meiner Sicht wünschenswerte, öffentliche Stellungnahme oder ein Hinweis ist ebenfalls ausgeblieben.

Fazit

Ehrlich gesagt fehlen mir die Worte. Schrecklich. Und peinlich obendrein! Solche Sicherheitslücken sollten keinesfalls passieren und aus meiner Sicht sollte es für den Fall der Fälle auch einen besseren Notfallplan geben. 18 Tage sind eine viel zu lange Reaktionszeit.

Was meinst du dazu?

GD Star Rating
loading...
#Neuland: Die Sicherheit auf dmexco.de, 4.0 out of 5 based on 5 ratings

Über Timo Fach

Ich beschäftige mich seit mehreren Jahren mit den Themen Seo, Open Source und Domains.