Zur Zeit habe ich einfach kein Glück: Seit Sonntag erhalte ich dutzende E-Mails von ImmobilienScout24, die eigentlich an einen Herrn M. L. gehen sollten.

Dieser hat in seinem Profil eine uralte GMX-Mailadresse von mir eingetragen. Obwohl er schon zig Kontaktaufnahmen gestartet hat und offensichtlich keinerlei Antwort erhält, kommt er nicht auf die Idee seine Daten zu überprüfen. Stattdessen werden immer mehr Leute angeschrieben, nachgehakt und News bestellt.

Eine entsprechende Mitteilung an den Support ist seit über 24 Stunden unbeantwortet und so sammeln sich weiterhin seine Nachrichten bei mir…

Aber wo hakt es nun? Meiner Meinung nach nicht so sehr bei M. L. wie bei ImmobilienScout24! Wieso kann man beliebige E-Mailadressen ohne erzwungene Überprüfung angeben? (Die Überprüfung kann freiwillig erfolgen – wer macht das? Bzw: Wieviele überlesen den Link dazu?)

Durch diese Nachlässigkeit landen mit Sicherheit nicht nur unzählige Nachrichten unbemerkt im Nirvana, viel schlimmer wiegt die Möglichkeit des (überspitzt gesagt) Hackings!

Es wird kaum jemanden geben, der ein Passwort nicht mehrfach verwendet. Über die Passwort vergessen – Funktion könnte ich mir *mein vergessenes* Passwort von Herrn M. L. an die angegebene E-Mailadresse (also mich) zuschicken lassen.

Aber bei solchen Funktionen werden doch grundsätzlich ein neues Passwort generiert und zugeschickt? Falsch! Für *maximale Benutzerfreundlichkeit* schickt ImmobilienScout24 das alte Passwort im Klartext zu. Toll für den Bösewicht: Mit dem nun bekannten Nutzernamen und Passwort sind nicht nur M. L.’s ImmoScout-Konto, sondern auch alle anderen Webseiten auf denen er angemeldet ist potentielle Ziele.

Doch Moment: Wenn das Passwort im Klartext verschickt wird bedeutet das doch: Auch in der Datenbank sind die Passwörter aller Benutzer nicht ausreichend geschützt!

Normalerweise werden Passwörter z.B. per md5-Algorithmus verschlüsselt in der Datenbank abgelegt. Ein Einwegverfahren: Selbst wenn man wollte ist es unmöglich das Passwort zu rekonstruieren.

Anmerkung: MD5 ist eigentlich ein Hashing- und kein Verschlüsselungsverfahren – aber das führt hier zu weit.

Logt sich ein User ein, wird das eingegebene Passwort auch md5-verschlüsselt und mit dem Datenbankinhalt verglichen. Ist das Ergebnis gleich, war das eingebene Passwort korrekt und der User wird eingelogt.

Das scheint hier aber nicht der Fall zu sein – wenn die Passwörter verschlüsselt in der Datenbank stehen, sind sie zumindest entschlüsselbar! Was wäre wohl los, wenn die Datenbank in die falschen Hände gerät?

Ob Herr M. L. von dem Ganzen etwas ahnt? Wohl kaum – und dazu gehört er sicherlich zu mindestens 95% der Nutzer dieses Portals. Umso wichtiger sollte es für den Betreiber doch sein, alle möglichen Schwachstellen auszumerzen?!

Denn auf die Intelligenz der User zu verantwortungsvollem Umgang mit ihren Daten kann er sich dabei nicht wirklich verlassen, die haben anderes im Kopf. Zumindest bis ein Aufschrei durch das Internet geht und sich viele voller Panik und Empörung beim Portal abmelden. (Siehe z.B. “Der Telekom droht wegen der Spitzelaffäre ein Kundenverlust in riesiger Zahl [...]“)

Zuletzt möchte ich noch klarstellen, dass dies garantiert kein Einzelfall ist – viel zu viele Unternehmen gehen viel zu sorglos mit ihren Kundendaten um! Es wird Zeit, dass sich daran etwas ändert!

11. Juni 2008, 15:28 - Security