Thema: Persönliche Daten zehntausender Jugendlicher auslesbar

[SiLæncer]

Sicherheitsexperten haben bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren. Entsprechende Hinweise auf mehrere Sicherheitslücken sind den Bloggern von Netzpolitik.org nach eigenen Angaben vor einer Woche zugespielt worden. Der Reiseveranstalter sei daraufhin kontaktiert und mit allen relevanten Informationen zu den ausgemachten Angriffsstellen und einer Datenbank-Kopie versorgt worden.

Das Unternehmen habe sofort reagiert und die mit der Firmen-Homepage verlinkte Community-Seite noch in der Nacht zum Samstag vom Netz genommen. Das Forum ist derzeit noch immer offline. Ruf beklagte gemäß den Bloggern, dass bei den Angriffen "in großem Umfang Daten manipuliert wurden" und der Firma "somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde".

Die Angriffe wurden laut Netzpolitik.org mit gängigen Methoden wie Cross-Site-Scripting oder SQL Injection geführt. Darüber hinaus seien die Passwörter der hauptsächlich jugendlichen Benutzer unverschlüsselt in der Datenbank gespeichert worden. So hätten weitere personenbezogene Angaben wie Geburtsdaten, Mail-Adressen, Namen, Pseudonyme, eigene Webseiten oder Adressen ausgelesen werden können. Auch das Lesen privater Nachrichten der Community-Mitglieder sei möglich gewesen, heißt es.

Wie lange die Daten zugänglich waren, ist derzeit nicht klar. Allerdings wurden bereits in einem Kurzvortrag des 23. Chaos Communication Congress (23C3) – also vor 3 Jahren – Sicherheitsprobleme bei Ruf thematisiert. Der Ruf-Jugendreisen-Fall  weist Parallelen zu den Schwachstellen beim Schülernetzwerk haefft.de auf, die der Chaos Computer Club (CCC) Anfang Dezember publik gemacht hatte.

Quelle : www.heise.de

[SiLæncer]

Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.

Hatte man eine gültige ID, so genügte es, die ID um 13 zu erhöhen oder zu erniedrigen, um auf weitere Reservierungen von urlaubswilligen Jugendlichen zuzugreifen. Diese enthielten neben Namen, Anschrift, Telefonnummer, Mail-Adresse, gebuchtem Reiseziel, Dauer und Unterkunft auch Angaben über Sonderwünsche – etwa wer mit wem auf einem Zimmer zusammenwohnen will. Prinzipiell hätte man auf diese Weise die Daten mehrerer tausender Jugendlicher sammeln können. Bereits Anfang der Woche hatten Sicherheitsexperten bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren.

Laut Ruf-Vertriebsleiter Dirk Föste sollten die abrufbaren Reservierungen dem Besucher temporär die Möglichkeit geben, seine Reservierung daheim auszudrucken. "Die angehängten IDs wurden nach einem Muster erstellt, das unserer Auffassung nach eine zufällige Ermittlung sehr stark erschwerte, wenn nicht unmöglich machte. Dies erschien uns, beziehungsweise unserem Dienstleister, zum damaligen Zeitpunkt hinreichend sicher zu sein", meinte Föste in einer Stellungnahme gegenüber heise Security.

Diese Auffassung vertrete man nun nicht mehr. "Der Zugang wurde unmittelbar nach Ihrem Hinweis geschlossen, und wir werden schnellstmöglich ein neues Verfahren etablieren." versicherte Föste. Aktuell lassen sich über die URLs auch keine Reservierungsbelege mehr abrufen. Wie bereits bei den Schwachstellen in der Ruf-Community betont Föste, dass man der Sicherheit der Kundendaten höchste Priorität einräume. Es seien in der Vergangenheit Fehler gemacht worden, für die man sich vor allem bei seinen Kunden entschuldige. Zudem werden man den gesamten Webauftritt möglichst schnell von einem unabhängigen Sicherheitsexperten untersuchen lassen.

Quelle : www.heise.de