19.08.2014

Ruhrgebiet OnlineServices - Unsichere Logins bei Euroweb-Partner

Wenn man, wie auf der Webseite der Ruhrgebiet-Onlineservices das Login, z.B. zum Webshop aufruft, dann erhält gelangt man zu folgender URL

http://www.ruhrgebiet-onlineservices.de/logins/login-shop.php

Diese liefert eine Webseite mit folgendem Formular:



Ein Blick in den Quelltext offenbart einen üblen Fehler im "Sicherheitsdesign":


Die leere Action-Eigenschaft bedeutet, dass die Eingaben zu der oben genannten URL zurück geschickt werden. Daraus folgt dann, dass das unverschlüsselte HTTP-Protokoll benutzt wird. Demnach begeben sich Benutzer dieses Formulars in die Gefahr, dass deren Benutzername und Passwort von Dritten "abgehört" und dann missbraucht wird.

Geschäftsführer der "Ruhrgebiet OnlineServices" ist der von der Euroweb Internet GmbH bekannte Daniel Fratzscher. Diese Firma sitzt auch in den gleichen Räumlichkeiten wie die Euroweb. Gehostet wird, wie die Webseiten der Euroweb-Kunden auch, in Bulgarien - was völlig unsinnig ist und hier das Sicherheitsproblem enorm verschärft - gehen die Daten doch zu einem Server mit der IP 94.156.146.21,



also in ein Büro- und Geschäftshaus in Bulgarien und damit in ein Land, in welchem (zumindest im europäischen Vergleich) die Internetkriminaltät enorm hoch ist.




Ich hatte die Euroweb Internet GmbH, welche auch für diese Webseiten als Konzern technisch verantwortlich ist, schon im Jahr 2012 auf ein identisches Risiko hingewiesen. Zum Dank wurde ich von denen auf eine garstige und lächerliche Weise verklagt - wofür diese auf den Kosten sitzen blieben.

Ich kann den betroffenen Kunden nur raten, bis zu einer Veränderung des Zustandes das Login nicht zu benutzen und die Ruhrgebiet OnlineServices auf Schadensersatz in Anspruch zu nehmen.

Alternativ kommt eine fristlose Kündigung in Betracht. Denn bei einem solch groben "Kindergartenfehler" muss das Vertrauen darin, dass die "Ruhrgebiet OnlineServices" so etwas wie einen Webshop betreiben kann, vollständig "ausgenullt" sein.

3 Kommentare:

Elektropick hat gesagt…

... Sehr interessant und gut zu wissen. Das ist etwas, worauf die Internet-Userschaft wahrscheinlich öfter Achten sollte. Ich selbst frage mich an dieser Stelle, wie genau du das entdeckt hast. Wobei das wahrscheinlich dein Geheimnis ist, und vllt auch deins bleiben sollte... (Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...). Gibt bestimmt viele Seiten, denen es ähnlich ergeht. Grade beim Login sparen viele "Heimbastler" bei ihrer Website, da sonst ja sonst was für Komplexe (und meist schon irgendwo im Netz bestehende, man müsste sie nur mal suchen) Scriptings nötig wären um das Ganze ordnungsgemäß ans laufen zu bringen.

LG
Benny

PS.: meine Meinung ist halt meine Meinung. So seh ich das nunmal

. hat gesagt…

"(Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...)"

Ja, klar. Wie ich schon schrieb: "Ein Blick in den Quelltext offenbart einen üblen Fehler im "Sicherheitsdesign" - Das Resultat muss man nur mit der URL (Protokoll: HTTP und nicht HTTPS) und Grundlagenwissen kombinieren.

"Grade beim Login sparen viele "Heimbastler" bei ihrer Website,"

Richtig. Das was ich fand ist "Heimbastler-Niveau". Oder sogar noch darunter.

Anonym hat gesagt…

"Heimbastler-Niveau"? Nene, das ist schon tiefer gesunken, als alles andere. Man müsste deshalb eine neue Maßeinheit erfinden. Dürfte man vorschlagen, Webdesign-Chaos in Preuß u. justizielle Unfähigkeit deluxe in Berger zu berechnen?^^

Kommentar veröffentlichen