In der häufigsten Theorie und Praxis ist XSS eine Manipulation der Seitenausgabe, verursacht durch ein Ausbrechen aus der eigentlichen Funktion. Dabei dient zum Beispiel ein Suchbegriff – überliefert durch Parameter der Suchfunktion – zum Einschleusen von zusätzlichem Code. So kann ein Angreifer zum Beispiel den Suchbegriff mit HTML-Code erweitern und damit externen Inhalt ausgeben lassen. Ich demonstriere dies meist durch die Einbindung eines Videos oder meiner Kollegin “Nyan Cat”.

Handelt es sich um eine nicht-persistente XSS-Schwachstelle, so geht man meist davon aus, dass die Lücke absolut harmlos ist, da die Manipulation schließlich nicht gespeichert wird und ein Besucher gezielt auf die manipulierte Seite gelockt werden muss, um den Angriff durchführen zu können. Tatsächlich ist es so, dass ein Angreifer seine Opfer gezielt locken muss, sofern die Manipulation nicht dauerhaft gespeichert wird (wie es zum Beispiel bei Lücken in einem Gästebuch, Forum oder bei ähnlichen Funktionen möglich wäre). Aber gerade der Fakt, dass die Manipulation nur temporär auftritt, macht gerade diesen Angriff besonders attraktiv.

1. Der Angreifer kann theoretisch nicht belangt werden, da es nicht notwendig ist, die Manipulation direkt durchzuführen und die Lücke zum Speichern der manipulierten Inhalte zu nutzen. Wird einem Angreifer eine derartige Lücke bekannt, so kann er vom betreffenden System entfernt einen indirekten Angriff starten. Der Angreifer kann selbst über Logfiles nicht entdeckt werden, wenn er weiß was er tut.

2. Kann der Angriff über POST durchgeführt werden, bleibt er in der Regel sogar komplett unentdeckt. In typischen Logfiles tauchen die Parameter eines POST-Requests nicht auf. Der Betreiber sieht also nur, dass Aufrufe einer Seite erfolgten, jedoch nicht, dass die Parameter manipuliert waren. Anders verhält es sich bei GET-Requests, in denen die Parameter für den Admin sichtbar sind. Hierbei lässt sich ein Angriff meist schnell aufdecken und die dadurch bekannte Schwachstelle beseitigen.

Was ich in den vergangenen Jahren sehr häufig festgestellt habe ist, dass Betreiber nach meinen Hinweisen die Schwachstellen beseitigen wollten, indem lediglich die Verarbeitung der GET-Parameter unterbunden wurde. Man ging davon aus, dass POST-Parameter eine sichere Sache sind, wenn es um XSS geht. Das ist leider komplett falsch und sollte auf gar keinen Fall so gehandhabt werden. XSS über POST schüttelt zwar die Kiddies unter den Angreifern ab, da die Kompetenzen fehlen das Ausnutzen derartiger Schwachstellen über POST durchzuführen, allerdings hält dies nicht den Wissenden davon ab. XSS über POST macht es dem Angreifer zwar schwieriger, seine Opfer auf die manipulierten Seiten zu locken und dabei komplett unentdeckt zu bleiben, aber es schützt nicht grundsätzlich vor Übergriffen.

Die einfachste Möglichkeit für einen Angreifer, XSS über POST-Parameter durchzuführen ist, ein automatisch ausgeführtes Formular via Javascript, auf einer externen Seite abzulegen. Das Opfer ruft also zunächst die Seite mit dem präparierten Formular auf und wird dann automatisch – zusammen mit dem mitgegebenen POST-Request, an das Ziel geleitet, wo dann die XSS-Schwachstelle über POST ausgenutzt wird. Hierzu kann der Angreifer nun das präparierte Formular irgendwo im Netz ablegen oder gar – wenn er Fuchs genug ist – eine weitere XSS-Schwachstelle bei einer anderen Seite nutzen und dort das Formular einschleusen. So bleibt er weiterhin unerkannt und kann – selbst bei ausführlichen Recherchen – nicht ermittelt werden (wenn er es richtig anstellt).

Was viele Administratoren und Sicherheitsexperten leider bis zum heutigen Tag nicht verstanden haben ist, dass sich XSS meist in jede Richtung ausnutzen lässt. Die meisten Ansprechpartner die ich bisher hatte gingen davon aus, dass man bei XSS lediglich Text ändern, eine Messagebox öffnen, oder Bilder einfügen könnte. Das ist aber leider nur ein kleines Stück vom großen Kuchen. Durch XSS lassen sich meist beliebige Inhalte einfügen, extern angelegtes Script einbinden, die Besucher direkt umleiten – ohne dabei den Inhalt der Browserzeile zu verändern – und Vieles mehr. Anders als bei einer SQL-Injection oder anderen Schwachstellen, bietet XSS eine Art Schweizer Taschenmesser für einen Angreifer. Er kann sich quasi aussuchen, wie er seine Opfer angreifen möchte.

Halten wir also zunächst fest, dass:

1. ein Angreifer bei XSS-Schwachstellen unerkannt bleiben kann.
2. es egal ist, ob GET- oder POST-Request – das Potential bleibt gleich.
3. jegliche Manipulation stattfinden kann – der Angreifer also ein starkes Werkzeug erhält.

Um die geballte Gefahr bei XSS-Schwachstellen einmal zu verdeutlichen, möchte ich die Problematik in folgendem Beispiel genauer definieren und dabei mögliche Auswirkungen eines solchen Angriffs verdeutlichen.

Als Beispiel nehme ich die gängige Problematik der meisten Webanwendungen. Die Entwickler der meisten Webanwendungen legen zwar viel Wert auf die Sicherheit der Systeme, jedoch meist nur im Frontend – also der Ebene, die für den Besucher zugänglich ist. Die Administrationsbereiche sind für den Besucher nicht zugänglich, darum ignoriert man hier meist gravierende Schwachstellen, weil man davon ausgeht, dass ein Angreifer ja gar nicht erst dort Zugriff erlangt. Kennt der Angreifer aber XSS-Schwachstellen im Backend, kann das Ganze durchaus eine interessante Sache werden.

Gehen wir einmal davon aus, dass ein Angreifer Kenntnis von einer SQL-Schwachstelle im Administrationsbereich eines Shopsystems hat. Er kann sie nicht direkt ausnutzen, weil er keinen Zugang zum Zielsystem hat, kennt aber eine XSS-Schwachstelle im Frontend oder auch im Backend des Shopsystems. Was würden Sie denken, wenn ich Ihnen jetzt sage, dass dies der Schlüssel zum erfolgreichen Takeover sein wird? Sie werden sicher schmunzeln. Der Angreifer kann sich durch eine XSS-Schwachstelle im Frontend oder auch Backend, Zugriff auf höhere Ebenen verschaffen und dann seinen eigentlichen Angriff durchführen, ohne dass Sie als Admin/Shopbetreiber/Mitarbeiter Kenntnis davon haben werden. Der Angreifer wird dadurch sogar komplett unerkannt bleiben. Wie das funktionieren soll?

Der kombinierte Angriff mit 99% Erfolgsquote

Ein Angreifer könnte die XSS-Schwachstelle nutzen und Ihnen als Betreiber/Admin/Mitarbeiter über das Kontaktformular des Shopsystems – welches ja in der Regel zur Standardausrüstung gehört – den Link zur manipulierten Seite schicken. Dabei wird beim Seitenaufruf ein Iframe eingebunden, welches in seinen Dimensionen nahezu unsichtbar erscheint und gleichzeitig ein Iframe, welches die sichtbaren Inhalte liefert. Sie sehen die bekannte Seite Ihres Onlineshops, während sich im anderen – nicht sichtbaren – Iframe der eigentliche Angriff abspielt. Der Angreifer könnte nun bei seinem Angriff eine automatisierte Abfolge und Ihre eigene – aktive Session – im Administrationsbereich nutzen, um die SQL Injection im Backend durchzuführen und durch eingebundenes Javascript die Ausgabe weiterleiten zu lassen. Alternativ – sollten Sie nicht in der Administration angemeldet sein – kann er Ihnen ein manipuliertes Login-Formular präsentieren und so an Ihre Logindaten gelangen. Durch das Verschleiern der Parameter bzw. der Inhalte in der Browserleiste, werden Sie als Opfer in der Regel keinen Wind davon bekommen, dass der Angreifer sich gerade an Ihrem System austobt. Zudem ermöglicht das Iframe, dass Sie im Shop navigieren können und trotzdem der Angriff stattfinden kann. Sie navigieren dann im Iframe – ändern also nicht die URL der Hauptseite – und bieten daher genügend Zeit für das Script, den Angriff durchzuführen.

Sollte ein Angreifer auf diesem Weg in Ihr Leben treten, dann können Sie sicher sein, dass er seine Möglichkeiten ausnutzen wird. Im beschriebenen Beispiel hat er nun entsprechende Informationen aus Ihrer Datenbank gelesen und ggf. noch Ihre Logindaten, um sich selbst in der Administrationsoberfläche anmelden zu können. Selbst wenn Sie kurze Zeit später Verdacht schöpfen, kann es bereits zu spät sein.

Was man hierzu noch anmerken sollte: Sie werden den Angreifer in der Regel nicht ausfindig machen können – anders als bei gewöhnlichen Angriffen mit einer SQL Injection. Denn in diesem Fall haben ja Sie als Opfer den Angriff erst angestoßen. In den Logfiles wird also nicht der Angreifer mit seiner SQL Injection auftauchen, sondern Sie als Opfer.

Was ich hier nun beschrieben habe, ist ebenfalls nur ein kleiner Teil des Möglichen. Grundsätzlich kann man über XSS-Schwachstellen so einigen Unfug treiben. In den vergangenen Jahren war es hauptsächlich das Verbreiten von Malware und das Ausnutzen von Schwachstellen im Webbrowser des Besuchers, was XSS sehr attraktiv gemacht hat. Gerade durch die schnelle Verbreitung von manipulierten Links, über “Lockmittel” in sozialen Netzwerken, wird die Gefahr und Wahrscheinlichkeit für einen Angriff immer größer.

Sind Sie nun also weiterhin der Meinung, dass XSS absolut harmlos ist?

Mich hat das Thema nicht sonderlich gewundert, da ich persönlich bereits ebenfalls von solch einem Vorgehen beim Anbieter “Skype” gewusst habe. So konnte ich bereits vor einigen Monaten feststellen, dass – wie aus Geisterhand – übersandte Links an Gesprächspartner, kurze Zeit später von Dritten aufgerufen wurden. Aufgefallen ist dies durch eingesetzte Analysesysteme, welche Seitenaufrufe der Besucher aufzeichnen und zur statistischen Auswertung dienen.

Grundsätzlich sollte man sich darüber klar sein, dass vertrauliche Informationen niemals über einen Messenger verschickt werden sollten. In der Regel werden die Daten/Gespräche nicht auf direktem Weg – also von Computer zu Computer – übertragen, sondern nur auf indirektem Weg zugestellt und beim Anbieter der Dienste zwischengespeichert. Es lohnt sich durchaus, bei solchen Anbietern einmal die Nutzungs- und Datenschutzbedingungen zu lesen. Viele Nutzer sind sich gar nicht klar darüber, in welchem Umfang die Gesprächsinhalte gespeichert, verarbeitet und sogar Dritten zugänglich gemacht werden.

Ich wundere mich im Moment nur, dass man über den Lauschangriff in ähnlicher Art und Weise bei ICQ noch nicht berichtet hat. Auch bei ICQ werden offenbar verschickte Links und Gespräche vom Dienstanbieter oder dessen Beauftragten mitgelesen und die Links ggf. aufgerufen. Diese Vorgehensweise konnte ich bei ICQ bereits im August 2011 feststellen, als ich mich mit einem Bekannten in einem Chat unterhalten habe.

Bei der Unterhaltung habe ich Links zur Suchfunktion von Google verschickt, die den Suchbegriff bereits über die Parameter überliefert haben. Wer einen solchen Link aufruft, erhält also bereits beim Seitenaufruf das Suchergebnis zum Begriff. Ich habe damit das Ranking für bestimmte Suchbegriffe zu einem Thema gezeigt. Zur gleichen Zeit hatte ich die Analyseanwendung “Piwik” offen, um die Statistiken der Seiten auszuwerten und war für einen Moment etwas verwirrt, als plötzlich – neben meinem Gesprächspartner – zwei weitere Besucher, über die exakt gleiche Suchkombination im Referrer, auf die Website gelangten. Dass dies kein Zufall war und die auffälligen Besucher nur durch ein Mitlesen der Unterhaltung in ICQ auf die Seiten gelangen konnten, war mir persönlich sofort klar. Es handelte sich nämlich um eine ältere Website, die längst nicht mehr gepflegt wurde und dazu noch um Suchbegriffe, über die bereits viele Monate keine Zugriffe mehr erfolgt waren. Da war es schon sehr unwahrscheinlich, dass exakt zur gleichen Zeit, plötzlich zwei weitere Besucher mit relativ untypischen Suchanfragen, auf die Website gelangten.

Mein erster Verdacht war damals eine Infektion des Computers von meinem Gesprächspartner. Zur Sicherheit habe ich aber auch die eigenen Computer überprüft und die Überwachungssysteme auf Auffälligkeiten hin kontrolliert. Das Ergebnis waren – wie eigentlich erwartet – saubere Systeme, ohne jegliche Auffälligkeit. Der Datenverkehr im Netzwerk war sauber – es musste also einen “Schnüffler” auf der Seite von ICQ geben, der die Unterhaltungen damals verfolgt hat.

Um das Ganze gezielt zu testen, habe ich in den darauf folgenden Wochen ebenfalls Gespräche geführt und dabei präparierte Links verschickt, um definitiv sicher sein zu können, dass der Aufruf der jeweiligen Ziele nur durch das Mitlesen des Gesprächs bei ICQ möglich war. Was ich festgestellt habe ist, dass bei fast jeder Unterhaltung die übersandten Links auch von Dritten aufgerufen wurden. Als würde da jemand sitzen und die Gespräche direkt mitverfolgen.

Der Aufruf wurde allerdings – anders als beim von heise.de beschriebenen Vorfall mit Skype – nicht nur über “HEAD” durchgeführt, sondern es erfolgte ein ganz normaler Abruf der Website über einen Webbrowser. Die “Schnüffler” hatten dabei IP-Adressen von zwei deutschen – relativ bekannten – Unternehmen. Was ich persönlich sehr auffälig fand war die Tatsache, dass die Besucher damals nicht über direkte Links zur Website kamen, sondern zunächst bei Google landeten und dann selbst das richtige Suchergebnis auswählen mussten. Das heißt für mich, dass hier keine automatisierte Sicherheitsfunktion des Messengers am Werk war, sondern die zusammenhängende Unterhaltung gezielt mit belauscht werden musste.

Nunja, aber in Zeiten von Staatstrojanern, Vorratsdatenspeicherung und Bestandsdatenauskunft, braucht uns sicherlich nichts mehr komisch vorkommen. Da muss man sich über Skype, ICQ & Co. nicht mehr aufregen, sondern kann seine Unterhaltungen auch ausdrucken und in großen Auflagen auf der Straße verteilen. So far…

Besonders auffällig ist diese Phishing-Mail durch die direkte Ansprache mit dem richtigen Vor- und Nachnamen, welche offenbar aus gekauften/geklauten (ich weiß, geklaut ist eigentlich der falsche Begriff) Datensätzen, einem Impressum oder anderen Quellen stammen. Zudem gibt es in dieser Phishing-Mail keine Schreibfehler – was in der Regel der Fall wäre. Auch der Aufbau der E-Mail und der gefakten Website sind sehr authentisch. Die Sache wird zusätzlich abgerundet, mit dem Namen des Empfängers als Subdomain innerhalb der Adresse, welche in der E-Mail verlinkt wird. Auch diverse Spam- bzw. Phishing-Filter erkennen den Betrug nicht. Sie sollten daher besonders vorsichtig sein und grundsätzlich darauf verzichten, bei Nachrichten dieser Art auf verlinkte Inhalte zu klicken.

Ende Januar bin ich über ein Sicherheitsproblem in einem Portal der Axel Springer AG gestolpert. Da der Medienkonzern so einige Internetportale betreibt, habe ich auch in anderen Internetangeboten nachgesehen, ob die aufgedeckte Problematik auch dort vorhanden ist. Bei der kurzen Recherche habe ich auch den Onlineshop der Zeitschrift “Hörzu” aufgerufen – welche ebenfalls zur Axel Springer AG gehört – und bin dort über ein noch weit größeres Sicherheitsproblem gestolpert, welches einem Angreifer den Zugriff auf Datenbanken, sowie Informationen über Kunden und deren Konto- und Zugangsdaten ermöglichte. Durch ungefilterte Parameter der Webanwendung war es möglich, die Verarbeitung der Parameter zu manipulieren und so die Datenbankabfragen zu verändern. Dies ermöglicht einem Angreifer eigene Datenbankabfragen auszuführen, sowie bei entsprechender Konfiguration des Systems auch das Eindringen in Bereiche auf Administrationsebene. Aus rechtlichen Gründen war es mir allerdings nicht erlaubt, einen genaueren Blick auf die vorhandenen Datensätze zu werfen (eine Datenbankabfrage wäre strafrechtlich relevant, daher wird grundsätzlich ohne Einwilligung der Betreiber auf detaillierte Abfragen verzichtet). Da es sich um einen Onlineshop handelt, kann man aber mit großer Wahrscheinlichkeit davon ausgehen, dass sämtliche Informationen über Kunden, deren Zugriffsdaten (E-Mail Adressen, Passwörter, …), Kontoinformationen und ggf. auch Kreditkartendaten, Bestellinformationen, und weitere Datensätze innerhalb der Datenbank abgespeichert und somit für einen Angreifer erreichbar waren.

Direkt nach der Aufdeckung der Schwachstellen, habe ich mit der Axel Springer AG Kontakt aufgenommen und auch bereits vorhandene Kontakte zur ComputerBILD genutzt, um meine Meldung bezüglich der Sicherheitsproblematik absetzen zu können. Nun, die Leser von Sicherheit-Online und so gut wie alle Betreiber von Internetportalen – die bisher von Sicherheitswarnungen durch Sicherheit-Online die eigenen Angebote absichern und Nutzer schützen konnten – wissen, dass das grundsätzliche Prinzip die kostenfreie Hilfe bei Sicherheitsproblemen ist. In seltensten Fällen wurde für die Unterstützung eine Gegenleistung/Bezahlung gefordert. Bei den Ausnahmefällen handelte es sich um Unternehmen, die direkte Leistungen bezogen und damit Arbeitsleistung und Aufwände bezahlt haben.

Ich habe bei der Axel Springer AG aus ganz bestimmten Gründen eine angemessene Gegenleistung für die sicherheitsrelevanten Informationen vorausgesetzt. Das heißt, ich wollte in dem Fall schlichtweg nicht mehr die Arbeit für einen Großkonzern und dessen Angestellte erledigen, um deren Zahlvieh (Kunden & Besucher) vor Angriffen zu schützen. Warum ich eine Gegenleistung verlangt habe?

Die Axel Springer AG hat in den vergangenen Jahren bereits mehrfach (!) in verschiedenen Portalen und Angeboten, von meiner persönlichen Unterstützung profitiert und konnte diverse Sicherheitslücken schließen, weil ich mich persönlich bemüht habe, den Betreibern Sicherheitslücken in deren Systemen mitzuteilen und Lösungen zu präsentieren. Es ist für mich eine Selbstverständlichkeit, Sicherheitslücken ohne Gegenleistung zu melden und – ohne Bezahlung – für mehr Sicherheit im Netz zu sorgen. Tausende Betreiber können dies bestätigen und hunderte Millionen Kundendaten wurden in den vergangenen Jahren alleine durch meine persönliche Unterstützung geschützt. Es macht mir einfach Spaß, mein Wissen und Können für die “gute Seite” einzusetzen und da zu helfen, wo ich helfen kann. Wenn es aber bei einem Konzern dieser Größe, mit Milliardenumsätzen und eigenen IT-Abteilungen – ja selbst einem Fachbereich für IT-Sicherheit – ständig zu Sicherheitswarnungen durch mich kommt und ich damit eigentlich den Job der dort angestellten Mitarbeiter erledige, dann hat dies irgendwann seine Grenzen. Es kann nicht angehen, dass die dort beschäftigten Programmierer und Webentwickler ständig Bockmist bauen, wofür sie bezahlt werden und der “gutmütige Mensch da draußen” ständig deren Fehler aufdeckt und bei der Beseitigung hilft, ohne jemals auch nur ein kleines “Dankeschön” zu erhalten.

Da wären zum Beispiel die Sicherheitslücken bei der ComputerBILD, die 2011 (zum Beitrag) und 2012 (zum Beitrag) durch meine Hinweise und zum Teil durch Meldungen von Kollegen geschlossen werden konnten. Herr Pursche von der ComputerBILD hat sich damals sehr nett bedankt, eine Gegenleistung wurde jedoch – selbstverständlich – nicht gefordert. Ebenso beim Portal meingutscheincode.de (zum Beitrag) der Axel Springer AG, welches auch Sicherheitslücken durch meine Informationen schließen konnte, wurde keine Gegenleistung gefordert. Und natürlich auch beim Fixday (zum Beitrag) wurde keine Gegenleistung für die Meldung der Schwachstellen bei Bild.de verlangt.

Selbst als damals das Internetportal Welt.de (ebenfalls Axel Springer AG) gehacked und dabei die gesamte Datenbank mit über 30.000 Kunden- und Kreditkartendaten kopiert/veröffentlicht (Beitrag bei Golem) wurde, habe ich für meine außerordentlichen Dienste keine Gegenleistung verlangt. Ich habe damals persönlich die Jagd nach dem Hacker gestartet und bin bei der Kripo Erding (Fachbereich IT-Kriminalität) – zusammen mit einem Datenträger mit möglichen Informationen zum Angreifer – als Zeuge aufgetreten, um somit als gutmütiger Bürger zu helfen, die Sache aufzuklären und den Angreifer ausfindig zu machen. Es ist garantiert nicht selbstverständlich, dass man derartigen Einsatz zeigt, um Betreibern von Internetportalen zu helfen. Für mich persönlich war dies aber meine Pflicht, zu helfen. Weitere Beispiele nenne ich an der Stelle nicht, denn es sollte bereits klar geworden sein, dass die Axel Springer AG durchaus mehrfach meine Zeit – for free – in Anspruch genommen hat.

Leider weiß man bei der Axel Springer AG derartige Hilfe nicht wirklich zu schätzen. So hat man auf meinen Hinweis mit Bitte um Kontaktaufnahme eher abweisend reagiert und klargemacht, dass die Axel Springer AG nicht bereit sei, für Sicherheitshinweise eine Prämie zu bezahlen oder jegliche andere Gegenleistung zu erbringen. Mir persönlich ging es nicht um Geld, sondern einfach um ein Entgegenkommen dafür, dass ich meine Freizeit für einen Medienkonzern opfere, der durchaus kein Problem damit haben sollte, derartige Hilfe zu entlohnen. Auch wenn ich die Käseblätter selbst nicht lese, wäre auch – von mir aus – ein einfaches Abo als Geschenk oder von mir aus ein kleiner Anriss zur Sache in einer Zeitschrift, ein nettes Entgegenkommen gewesen. Wie erwähnt war das Interesse der Axel Springer AG, an den Informationen zu den kritischen Sicherheitslücken scheinbar nicht gerade groß. Zum Abschuss der Sache, fand ich in der Antwortmail, welche mir von einem Herrn aus dem Bereich “Axel Springer Media Systems” zugestellt wurde, eine Andeutung die mir nicht gefallen hat und die mir Grund für die folgende öffentliche Beantwortung gibt:

Lieber Herr M.,

mit meiner Aussage war gemeint, dass Details zur Sicherheitslücke nicht veröffentlicht werden (zumindest während die Gefahr noch besteht), da ich Ihre Kunden nicht in Gefahr bringen und den Kids da draußen Anreiz zum Hacken geben möchte. Ich habe nicht davon gesprochen, dass ich mir keine öffentliche Berichterstattung über die Sicherheitslücken bei der Axel Springer AG erlauben werde. Soll die Welt ruhig wissen, wie sicher man als Kunde bei der Axel Springer AG ist und wie höchst professionell man dort mit Sicherheitswarnungen von außen umgeht. Selbst der Vorfall bei Welt.de damals war nicht Grund genug für die Axel Springer AG, etwas an der Vorgangsweise zu Sicherheitsmeldungen zu ändern. Ich habe bereits mehrfach Meldungen von Dritten erhalten, die mit ihren aufgedeckten Schwachstellen nicht zu Ihnen durchdringen konnten. Dass man bei der Axel Springer AG dermaßen arrogant und ignorant reagiert, sowie sicherheitsrelevante Unterstützung nicht zu schätzen weiß, hat mich dazu gebracht, alle Unterstützer von Sicherheit-Online zu bitten, bezüglich Schwachstellen bei Portalen der Axel Springer AG künftig keinerlei Sicherheitsmeldungen mehr zu tätigen. Ich bin nicht mehr bereit, Ihren Job zu erledigen und Ihre Kunden vor Angriffen zu schützen.

Also entschied ich, die Sache temporär zur Seite zu legen und einfach mal zu warten. Vor wenigen Tagen habe ich dann entdeckt, dass der Onlineshop unter hoerzu-shop.de ein neues System und Design erhalten hat. Natürlich habe ich in diesem Zug nochmal kontrolliert, ob die Sicherheitsproblematik damit ebenfalls beseitigt wurde. Tatsächlich wurde die Schwachstelle durch das neue System beseitigt. Da hatten wir noch einmal Glück, nicht wahr liebe Axel Springer AG?

Bildquelle: Wikipedia – Beek100

Der Bundestag hat nun das umstrittene Leistungsschutzrecht verabschiedet und dem Lobbyismus, sowie Abmahnanwälten und einer Horde geisteskranker Menschen den uneingeschränkten Freibrief erteilt. Betrachtet man die Thematik allerdings ein wenig näher, wird man feststellen, dass diese Forderungen und Diskussionen rund um das Leistungsschutzrecht, hochgradig pervers sind.

Da fordern weltweit bekannte Käseblätter ein Leistungsschutzrecht, welches in dieser Art und Weise garantiert nicht mit gesunden Menschenverstand verfasst wurde. Auf der einen Seite, möchte man künftig – selbst für kleine Ausschnitte aus Artikeln/Nachrichten – entsprechende Gebühren kassieren und die Betreiber von Suchmaschinen, sowie andere – unrechtmäßige oder nichtzahlende – Nutzer der “Leistungen” zur Zahlung verpflichten. Auf der anderen Seite, betreiben diese Unternehmen Suchmaschinenoptimierung und Suchmaschinenmarketing, um möglichst weit oben in den Suchergebnissen zu erscheinen. Denn wenn es etwas gibt, worauf diese Geier scharf sind, dann sind es hohe Werbeeinnahmen, die natürlich nur durch massenweise Besucher/Leser generiert werden können. Natürlich braucht man auch eine Masse an Lesern, um seinen Schund möglichst in aller Munde legen zu können.

Man beißt also bewusst und ohne Rücksicht in die Hand die einen füttert. Ich würde den Betreibern von Suchmaschinen einfach vorschlagen, sämtliche Befürworter des Leistungsschutzrechts, schlichtweg mit allen Webseiten und Beiträgen aus dem Index zu befördern. Wer bitte braucht denn die Massenmedien der heutigen Zeit, die sowieso nur noch Schrott abliefern und durch schlecht recherchierte Beiträge, bewusst verfälschte Informationen, politisch beeinflusste Nachrichten, rassistische und menschenunwürdige Stimmungsmache, sowie vermarktungsorientierte Inhalte, den Leser täuschen, belügen und verblöden?! Was machen denn ein Axel Springer, ein Burda, eine Zeit, eine FAZ, ein Gruner & Jahr und andere Großkotze, wenn Google und andere große Suchmaschinen, sämtliche Blogger und solch Portale wie Facebook, plötzlich keinerlei Links mehr streuen und kurze Zitate aus den Nachrichten veröffentlichen? Was wäre denn, wenn einfach kein Mensch mehr bereit ist für diese Verlage zu berichten – oder besser gesagt – zu werben? Es wäre doch eher unpraktisch für diese Größen, wenn bei einer Google Suchanfrage nur noch Ergebnisse von unabhängigen oder gar privaten Journalisten gelistet werden. Sicher wäre dies aber für einige Leser durchaus gesünder.

Vor einigen Tagen bin ich auch über ein Bilderverzeichnis gestolpert, welches für das Leistungsschutzrecht steht und sich als Verfechter der neuen Google-Bildersuche sieht. Schließlich werden in der Bildersuche die hochgeladenen Fotos der eigenen Nutzer, in hoher Auflösung innerhalb der Suchmaschine dargestellt. Die Betreiber der Website fordern den Leser auf, sich gegen die Bildersuche von Google einzusetzen und die Bilder vor dem “Google-Raub” zu schützen. Ich konnte mir mein Lachen nicht verkneifen, als ich in diesem Bilderverzeichnis auch Werbeblöcke entdeckt habe, die natürlich von Google stammen. Da beschwert sich also ein Betreiber über die neue Bildersuche bei Google, ruft zum Boykott auf und nutzt zur gleichen Zeit Google Adsense, um sich von Google für die Einblendung von Werbeblöcken bezahlen zu lassen. Eine kurze Suche nach dem Betreiber hat mich dann auch auf seine eigene Website gebracht, auf der er Suchmaschinenoptimierung anbietet und sich dabei auf die Optimierung für Google konzentriert. Mit dem Bilderverzeichnis und der eingeblendeten Werbung profitiert er natürlich durch Google und wünscht sich möglichst viele Besucher. Gleichzeitig schlägt er Google mit seiner primitiven Einstellung direkt ins Gesicht. Na bravo Super Mario!

Grundsätzlich verstehe ich nicht, dass sich gewisse Verlage in dieses Leistungsschutzrecht verbeißen und sich im Prinzip das eigene Geschäft schlecht machen. Es bringt doch Einnahmen, wenn der Besucher bei Google auf ein Ergebnis von einem solchen Verlag stößt, durch den kurzen Ausschnitt, ein lockendes Bild und einen reißerischen Titel Lust darauf bekommt den Artikel im Portal zu lesen und sich anschließend vielleicht sogar für ein Abonnement der Zeitschrift, eine Premium-Mitgliedschaft oder zusätzliche Leistungen und auch die Werbeblöcke interessiert.

Ich bin bereits gespannt, wie sich dieses neue Leistungsschutzrecht in Zukunft auf die Internetgesellschaft auswirken wird. Sollte allerdings einer der Befürworter früher oder später aufschreien, weil ihm die Leser fehlen, dann bitte ich darum dieses Leistungsschutzrecht erst recht aufrechtzuerhalten. Denn scheinbar lernen diese Unternehmen nur aus den Ergebnissen ihrer eigenen Dummheit.

Besonders brisant erscheinen die Schwachstellen, da davon auszugehen ist, dass es sich um gut besuchte Webseiten handelt, dessen Benutzer sensible Daten von sich Preis geben. Somit ist das Risiko für diese Benutzer, welche für die Nutzung meist sogar Geld bezahlen, umso größer. Ein Angreifer könnte die Zahlungswege manipulieren oder Eingaben der Benutzer abfangen.

Per E-Mail und Kontaktformular über die Schwachstellen informiert, haben Support-Mitarbeiter aller Portale, innerhalb kurzer Zeit mit einem kurzen Feedback und der Angabe, die Informationen über die Schwachstellen an die zuständige Abteilung weiterzuleiten,  reagiert. Einzig der IT-Support von „ElitePartner“ jedoch, hat sich daraufhin Mitte Januar, mit einem sehr freundlichen Hinweis über die beseitigte Schwachstelle und einem Dankeschön, zurückgemeldet. Beim Partnerportal „Datingcafe“ wiederum wurde die Schwachstelle zwar innerhalb kurzer Zeit behoben, ein weiteres Feedback erfolgte aber leider nicht mehr.

Bei den beiden Portalen „Friendscout24“ und „Parship“, scheint in Bezug auf die gemeldeten Schwachstellen, bis zum heutigen Zeitpunkt nichts weiter passiert zu sein, da diese weiterhin ausführbar sind. Da solche Schwachstellen letztlich die Sicherheit der Kunden dieser Portale betreffen, ist es schwer nachzuvollziehen warum diese Probleme von den Betreibern bisher nicht behoben wurden.

(Gastbeitrag: Stefan Schurtz)

Update 11.02.2013 – Heiko Frenzel:
So wie es aussieht, hatte der Beitrag hier im Blog seine Wirkung. Parship wurde auf diese Veröffentlichung aufmerksam und hat nun – wie mitgeteilt wurde – die Sicherheitsproblematik beseitigt. Eine Kontaktaufnahme mit Sicherheit-Online gab es allerdings nicht. Der Hinweisgeber hat von den Verantwortlichen lediglich eine Rückmeldung erhalten, dass die Schwachstellen geschlossen wurden. Es freut mich, dass die Berichterstattung auch in diesem Fall ihre Wirkung zeigt. Schöner wäre es aber, man würde Sicherheitshinweise grundsätzlich mit hoher Priorität behandeln und die Sicherheitsprobleme möglichst schnell beseitigen.

Update 14.02.2013 – Heiko Frenzel:
Auch die FriendScout24 GmbH hat sich zwischenzeitlich auf den Beitrag gemeldet. Gestern wurde per E-Mail und Telefon mitgeteilt, dass man sich für die Information über Sicherheitsfehler bedankt. Man habe “…die gefundene Lücke mittlerweile geschlossen…” und die “…internen Scans und Pen-Tests so erweitert, dass ähnliche Probleme in Zukunft schneller erkannt werden können…”. Nutzer der Internetagenbote von der FriendScout24 GmbH können also ebenfalls aufatmen und brauchen sich – bezüglich der gemeldeten Sicherheitsproblematik – keine Gedanken mehr machen. Die bisherigen Reaktionen der Betreiber auf die Berichterstattung, sind positiv und erwecken den Eindruck, dass man dort durchaus großen Wert auf den Schutz der User legt. An der Stelle: Daumen hoch!

Schuld an der Sicherheitsproblematik waren ungefilterte Parameter im Formular, die eine Manipulation der Seitenausgabe ermöglicht haben. Durch den Ausbruch aus der Seitenstruktur und gezielte Platzierung, konnte so eine “gefälschte” Website über die der SCHUFA gelegt werden. Durch die Schwachstelle wäre es möglich gewesen, gezielte Angriffe auf Besucher durchzuführen und dabei Eingaben der Benutzer abzufangen. Das gezielte Ausnutzen von Schwachstellen im jeweiligen Webbrowser – über eingeschleusten Code – hätte ebenso die Infektion des Computers eines Besuchers oder gar dessen Kontrollübernahme ermöglicht. Auch Phishing-Attacken – ähnlich wie die bei der Arbeitsagentur in den vergangenen Tagen – wären durch die Schwachstelle im System möglich gewesen.

Ob die Sicherheitsproblematik in der Vergangenheit von Angreifern ausgenutzt wurden, ist nicht bekannt. Die SCHUFA hat jedoch auf meinen Warnhinweis reagiert und die Schwachstelle geschlossen. Man hat sich auch sehr freundlich für den Hinweis und das Engagement bedankt. Weitere Sicherheitsprobleme auf den Seiten der SCHUFA, sind aktuell – zumindest hier – nicht bekannt. Die SCHUFA teilte in ihrer Rückmeldung ebenfalls mit, dass man meinen Hinweis als Anlass genommen hat, die Portale der SCHUFA weiteren Sicherheitstests zu unterziehen.

Wie aus dem Thread hervorgeht, beschäftigt eBay wohl ein externes Callcenter – was im ersten Moment nicht die Seltenheit bei großen Unternehmen darstellt – um den “kompletten Kundenservice und Top-Kundenservice” für eBay abzuwickeln. Das wäre nicht schlimm, wenn man die Leute in diesem Callcenter nicht mit Billiglohn auf Hochleistung arbeiten lassen würde. Wie der ehemalige Mitarbeiter dieses Callcenters schreibt, verdient man bei der Firma “Competence Call-Center AG” wohl schlappe 7,50 + 1 Euro Bonus und darf für diesen Lohn Höchstleistung – selbst mit hoher Verantwortung – zeigen. Nun, selbst der Billiglohn stellt noch keine Seltenheit dar, selbst wenn es für ein Unternehmen wie eBay schon ein gewaltiges Armutszeichen ist. Der Verfasser des Beitrags schreibt hierzu das Folgende:

Ich habe bis vor einigen Tagen für die Firma Competence Call-Center (CCC) gearbeitet, welche den kompletten Kundenservice & Top- Kundenservice für die Firma eBay abwickelt.

Dieses Unternehmen serviciert an den Standorten Leipzig, Berlin – Stralauer Allee 2, Berlin – Greifswalder Str für die Firma eBay Kunden.
Die Firma eBay hat vor einigen Jahren den eigenen Mitarbeiterstamm im Servicebereich “entsorgt” und auf die Firma CCC & Transcom gesetzt. Die Mitarbeiter im CCC arbeiteten lange Zeit für einen Stundenlohn von 7 Euro + 1 Euro Bonus, mittlerweile für 7.50 + 1 Euro Bonus.

D.h. 8.50 für 2-3 Monate Schulungen. 8.50 für einen motivierten Mitarbeiter im Top-Kundenservice, dessen Kunden oftmals mit der eigenen Existenz in diesem Geschäft stecken. 8.50 Euro für weit über 3000 wichtige E-Mails pro Jahr, die jeder Mitarbeiter täglich zu lesen, verstehen und auch umzusetzen hat.

Die eigentliche Problematik beginnt mit den folgenden Aussagen. Teilweise sind es – näher betrachtet – harte Vorwürfe gegenüber eBay im Hinblick auf den Datenschutz und den Umgang mit den eigenen Kunden/Verkäufern.

Da wäre auf der einen Seite die Aussage, dass man in diesem Callcenter mit Pseudonym arbeitet und versucht, den Anrufer möglichst schnell abzuwimmeln. Stellt man sich einmal vor, dass hierbei Existenzen mit Decknamen abgefertigt werden, ist dies durchaus keine tolle Sache. Zumal es auch aus rechtlicher Sicht nicht praktisch ist wenn man versucht gegen Mitarbeiter des Callcenters vorzugehen, sofern es einmal ausreichend Grund dazu gibt. Dass man mit Pseudonym arbeitet, zeugt eigentlich davon, dass da etwas nicht so ganz sauber abläuft. Auch folgende Aussage bestätigt uns das:

Laut Aussagen von Gewerkschaftsfunktionären ist es in der Zweigstelle Leipzig nur unter Hilfenahme der Polizei möglich gewesen, gewerkschaftlichen Aufgaben nachzugehen. In der Zweigstelle Stralauer Allee 2 befinden sich sogar Projektmanager des Unternehmens im Betriebsrat, was in meinen Augen absolut nicht tragbar ist. Projektmanager sind mit die höchsten Führungspositionen im Unternehmen CCC, d.h. es gibt keine wirkliche Arbeitsnehmervertretung.Ein Betriebsratsmitglied welches diese Zustände angeprangert hat, wurde vom CCC in 14 Tagen 4-5 mal abgemahnt und letztendlich wegen fadenscheinigen Gründen (Arbeitszeitbetrug) fristlos gekündet. Der restliche Betriebsrat wurde vermutlich “gefügig” gemacht und hat der fristlosen Kündigung zugestimmt.

Die Gewerkschaft kann nur mit Hilfe der Polizei seinen Aufgaben nachgehen und ein Mitglied aus dem Betriebsrat wurde aus dem Unternehmen rausgemobbt? Sollten diese Aussagen richtig sein, wirft dies durchaus ein fragliches Bild über eBay bzw. das eingesetzte “Competence Call-Center”. Scheinbar versucht man hier bewusst, diverse Details nicht an die Öffentlichkeit dringen zu lassen und Mitarbeiter unter Druck zu halten.

Was mir persönlich ins Auge gestochen ist, sind die folgenden Zeilen. Der Verfasser schreibt:

Jeder Kundenservice-Mitarbeiter kann ALLE ihre privaten Nachrichten lesen die über das eBay-System verschickt werden. Behauptet ein Kundenservice Mitarbeiter etwas anderes, so lügt er im Auftrag der Firma CCC bzw indirekt dem Auftraggeber.

Es gingen etliche e-Mails über den Mailverteiler im CCC, wo uns ausdrücklich gesagt wird, dass wir auf absolut gar keinen Fall den Kunden davon erzählen sollen, dass wir Ihre privaten Nachrichten lesen können. Sollte mich die Firma eBay deswegen verklagen wollen…nur zu! Ich werde jeden Zeugen vor Gericht zu einer eidesstattlichen Versicherung zwingen.

Diesen Umstand werde ich auch an den Datenschutzbeauftragten der Stadt Berlin und des Bundes weiterleiten.

Dies ist durchaus ein gewaltiger Vorwurf gegenüber dem Callcenter und besonders eBay. Soweit mir bekannt ist es gesetzlich nicht gestattet, private Nachrichten – wie E-Mails und sogenannte PNs – für Betreiber, Angestellte oder Dritte in dieser Art zugänglich zu machen. Selbst Administratoren müssen den Blick in private Dinge mit großer Vorsicht genießen. So wie es aussieht, gewährt eBay allerdings den vollen Einblick in private Nachrichten der Verkäufer. Und dies nicht oder nicht nur den eigenen Angestellten, sondern einem externen, eigenständigen Unternehmen. Dies stellt in meinen Augen ein erhebliches Datenschutzproblem dar und sollte bei unseren Datenschützern ein gewisses Interesse wecken, die Angelegenheit zu verfolgen.

Auch folgende Aussage, weckt bei mir eine grausige Stimmung mit Blick auf den Datenschutz der Verkäufer beim Auktionsportal eBay:

Sie können sich als gewerbliches Mitglied mit folgenden Angaben am Telefon verifizieren:

Name Vorname
e-Mail Adresse
Adresse
Telefonnummer
die letzten 4 Ziffern ihrer Bankverbindung

und nun prüfen Sie doch einmal selbst, wieviele von diesen Daten jedes Mitglied auf ihrer Mich-Seite oder z.B. in der Kaufabwicklung bzw den Hinweisen für gewerbliche Verkäufer einsehen können.

Was glauben Sie, welche Möglichkeiten der verifizierte Anrufer für Ihr Mitgliedskonto hat? Er könnte z.B. Ihre Umsätze erfragen, Vermerke wegen nicht bezahlten Artikeln bei Käufern entfernen lassen und viele Dinge mehr. Davon würden Sie nichts erfahren, da der Anrufer ja in ihrem Namen anruft.

Ich glaube, dass man dies nicht weiter ausführen muss. Es sollte klar sein, dass es nicht vernünftig ist, einen Anrufer über Daten zu verifizieren, die für jeden Besucher der Plattform “eBay” sichtbar sind. Man sollte hier grundlegende Dinge überdenken und sicherlich für mehr Schutz der Verkäufer sorgen. Es kann nicht angehen, dass jeder x-beliebige Anrufer den vollen Einblick in das Verkäuferkonto bei eBay erhält. Das wäre in etwa so, als würde Ihre Bank die Kartennummer samt, Kontodaten und PIN auf einer öffentlichen Website präsentieren.

Im Thread wurde auch eine E-Mail veröffentlicht, die offenbar von der CCC (Competence Call Center AG) an den Verfasser des Beitrags im Sellerforum gerichtet wurde. Ich erlaube mir an der Stelle ein Vollzitat, um den Inhalt in seiner Richtigkeit wahren zu können.

Sehr geehrter Hr.********

wir haben die unten angeführte Nachricht erhalten und möchten Sie gerne über die Rechtsfolgen Ihres angekündigten Verhaltens informieren.

Wenn Sie diesen Text veröffentlichen

a.) verstoßen Sie gegen die vertraglich vereinbarte Geheimhaltungspflicht gem. § 9 Ihres Dienstvertrages;
b.) wird eine Konventionalstrafe idH von 2 Monatsgehältern fällig (§ 14 des Arbeitsvertrages);
c.) verstoßen Sie gegen das Datengeheimnis gem. § 10 Ihres Dienstvertrages;
d.) wird eine Konventionalstrafe idH von 1 Monatslohn fällig (§ 14 des Arbeitsvertrages);
e.) werden wir jeden, durch die Veröffentlichung darüber hinaus gehenden Schaden bei Ihnen persönlich geltend machen;
f.) haben Sie das Delikt der Kreditschädigung erfüllt, weil dieser Text falsche Tatsachenbehauptungen enthält, die kreditschädigend sind.

Die für Sie hieraus entstehenden Kosten (Konventionalstrafen, Anwaltskosten, etc.) schätzen wir mit rd. € 50.000,00 ein. Hinzu kommen der unter Pkt. e.) zum jetzigen Zeitpunkt der Höhe nach in Zahlen nicht erfassbare Schaden.

Sie sind seit zwei Wochen unentschuldigt an Ihrem Arbeitsplatz nicht erschienen. Auch hieraus ergibt sich ein Schadenersatzanspruch.

Wir fordern Sie auf die Veröffentlichung des Textes zu unterlassen und uns dies binnen 24 Stunden per Email zu bestätigen unter

legal@yourccc.com

Sollten Sie dieser Frist nicht nachkommen, werden wir gegen Sie eine Klage auf Unterlassung verbunden mit einem Antrag auf einstweilige Verfügung einbringen.

Mit besten Grüßen

*********, MBA
Head of Legal & Compliance

Competence Call Center AG
Spengergasse 37, 1050 Wien, Österreich
T: +43 1 811 22-7799

Handelsgericht Wien FN 173078b
Vorstand: Mag. Thomas Kloibhofer – Christian Legat – Dr. Veronika Weiss
Vorsitzender des Aufsichtsrates: Dr. Wolfgang Baur

Nun, liest man sich diese E-Mail genauer durch, dann könnte man durchaus den Gedanken verfolgen, dass die Aussagen des ehemaligen Mitarbeiters richtig sind. Der Betreiber des Portals “Sellerforum.de” konnte sich bei einem Gespräch mit dem Verfasser, von der Richtigkeit überzeugen und gibt dies auch im Beitrag wieder. Ich für meinen Teil, glaube auch nicht, dass an den Aussagen auch nur eine Unwahrheit dran ist. Ich gehe viel mehr davon aus, dass die Anschuldigungen durchaus begründet sind. Wie in der E-Mail erkennbar, wird mit typischen Druckmitteln versucht, den ehemaligen Mitarbeiter davon abzuhalten, in der Öffentlichkeit über die Vorgänge auszupacken.

Ich werde dieses Thema auch noch ein wenig im Detail betrachten und die “Competence Call Center AG” um eine eigene Darstellung bitten. Schließlich möchte ich dem Unternehmen die Möglichkeit geben, die eigene Sichtweise darzustellen. Ich selbst kann mich nur auf die Aussagen Dritter stützen und möchte dies auch klarstellen. Ich habe kein Interesse dem Unternehmen zu schaden, aber ich denke, dass es durchaus ein öffentliches Interesse gibt, sofern an den Aussagen Wahrheiten feststellbar sind. So lange mir keine Nachweise vorliegen, möchte ich klarstellen, dass dies lediglich eine Berichterstattung über einen im Sellerforum gesichteten Thread ist.

Über weitere Informationen werde ich an dieser Stelle gerne in einem Update berichten.

Update 25.01.2013:
Es gibt ein paar Neuigkeiten bei der Sache, die ich der Öffentlichkeit nicht vorenthalten möchte. Zunächst möchte ich erwähnen, dass sich eine weitere Person gemeldet hat, die ebenfalls in Verbindung mit diesem Callcenter steht und weitere Informationen übersandt hat, die noch tiefer in die Materie gehen. Offenbar gibt es Mitarbeiter im Callcenter, die nicht nur auf private Nachrichten der eBay-Mitglieder zugreifen können, sondern auch Kontrolle und vollständige Einsicht in Zahlungsvorgänge bei PayPal haben. Hinzu kommen Fehler im System, die über längere Zeit nicht behoben wurden und – soweit ich es richtig verstanden habe – auch für viele Probleme mit PayPal-Zahlungen, sowie Rückbuchungen verantwortlich waren. Ich möchte an dieser Stelle aber noch keine ausführlichen Details veröffentlichen, da bisher die Stellungnahme der Competence Call Center AG fehlt.

Die Competence Call Center AG hat sich zwischenzeitlich auch hier gemeldet und auf meine Anfrage zur Stellungnahme geantwortet. Zunächst sei erwähnt, dass die Botschaft nicht nur von einem Empfänger, sondern einer ganzen Liste gelesen wurde. Es besteht also ein reges Interesse an den öffentlichen Informationen bzw. dieser Berichterstattung. Dies erkennt man auch an der Zugriffszahl des Threads im Sellerforum, welche derzeit bereits an die 2.000er Marke steigt. Die Competence Call Center AG teilte mir mit:

“…vielen Dank für Ihr Email  und Ihr Angebot zur Stellungnahme.

Hr. *** hat eine Vielzahl von Punkten angesprochen.
Wir nehmen dieses Thema sehr ernst und überprüfen derzeit jeden einzelnen darin enthaltenen Vorwurf.

Nachdem diese Untersuchung abgeschlossen ist werden wir über die nächsten Schritte entscheiden. …”

Nun… Es ist ja schön, dass man so schnell und nett auf meine Anfrage reagiert hat. Was ich allerdings gerade mit einem bösen Blick begrüße ist die Tatsache, dass mir die nette Dame aus der Abteilung “Public Relations” der Competence Call Center AG mal eben einen Namen übersandt hat, den ich zuvor nicht kannte. Und ich gehe davon aus, dass es sich hierbei womöglich um den (ehemaligen?) Mitarbeiter der Competence Call Center AG handelt, welcher – laut Thread bzw. eigener Aussage – von eben diesem Unternehmen unter Druck gesetzt und zum Schweigen angemahnt wird/wurde. Soweit kann ich zumindest in diesem Fall ganz sicher sagen, dass dies ein klarer Verstoß gegen geltende Datenschutzpflichten war.  Selbst wenn an den Vorwürfen nichts dran wäre, ist es nicht in Ordnung den Namen eines (ehemaligen?) Mitarbeiters an Dritte einfach so pauschal herauszugeben. Trotzdem bin ich noch gespannt auf die ggf. eintreffende Stellungnahme des Unternehmens.

Update 27.01.2013:
Wie ich sehe, ist auch heise.de an Informationen zu diesem Thema interessiert. Vor etwa einer halben Stunde erschien der Beitrag “eBay weist vorgeworfene Datenschutz-Probleme zurück“. Der Verfasser Jörg Wirtgen schreibt in seinem Beitrag, dass eBay gegenüber heise eine Stellungnahme zum Fall abgegeben hat. Dabei weist eBay die Vorwürfe – zumindest teilweise – zurück. Folgende Passage scheint mir von Interesse zu sein:

“…widersprach eBay-Sprecherin Maike Fuest nicht, sondern sagte heise online, dass die Bundesnetzagentur es 2008 als “rechtskonform beurteilt” habe, dass eBay alle privaten “Mitteilungen einsehen kann” und dass diese Einsicht “ausschließlich das Ziel” verfolge, Betrugsversuche zu erkennen. Darauf würde bei jedem Senden einer Nachricht hingewiesen. Sie ging nicht darauf ein, ob es auch rechtskonform ist, dass die Mitarbeiter von Subunternehmen die volle Einsicht in die Kommunikation bekommen…”

Es wundert mich nicht, dass man genau auf diese Frage nicht weiter eingehen möchte. Auch wenn es in den Nutzungsbedingungen bzw. der Datenschutzerklärung Punkte gibt, die es erlauben würden, diese Art der Information an externe und eigenständige Unternehmen weiter zu geben, haben wir es hier mit Daten zu tun, die der Gesetzgeber durchaus mit einer E-Mail gleichstellen könnte. Und wie wir alle wissen, steht das Gesetz grundsätzlich schonmal über irgendwelchen Nutzungsbedingungen und Vereinbarungen, sofern sie eben genau mit diesen Gesetzen nicht vereinbar sind. Richtig ist, dass eBay – wie auch PayPal (darauf komme ich gleich) – in den Nutzungsbedingungen bzw. den Datenschutzerklärungen auf die Weitergabe von Daten an externe Dienstleister hinweist. Wie genau diese Daten dort verwendet werden können, ist allerdings nicht ganz klar. Und nachdem ich nun einige Dinge über weitere Mitarbeiter bei CCC erfahren habe, kann ich sagen, dass die Verwendung der Daten schon sehr an die Grenzen jeglichen Verständnisses gehen. Verständlich wäre der Zugriff auf derartig sensible Informationen bei eBay intern, jedoch nicht bei unzähligen Unternehmen, die auch für andere Kunden (Firmen) tätig sind. Vorallem ist für mich nicht erkennbar, warum man SO tiefen Einblick in den Käufer/Verkäufer benötigt, um Supportfälle abarbeiten und Kundenanfragen bedienen zu können. Folgend möchte ich aus einer weiteren Nachricht zitieren, die mir zugestellt wurde:

Mitarbeiter können im Billing Tool die privaten Nachrichten lesen, welche über die Artikelnummer versendet wurden.
D.h. sie geben die Artikelnummer im Tool ein, suchen den Namen des Käufers und sehen alle Nachricht die über das System gingen.

Alternativ kann im wichtigsten Tool: Unify, per Query-Suche der Mitgliedsname des Verkäufers und der Mitgliedsname eines beliebigen anderen Mitglieds eingegeben werden. Danach lassen sich alle privaten Nachrichten einsehen.

Ähnlich verhält es sich mit dem Tool Agent Desktop4, was Ihnen wohl auch ein anderer Mitarbeiter erklärt hat.
Im Agent Desktop Tool können die Mitarbeiter auch alle abgegeben Bewertungen für und von einem Mitglied sehen, sowie die kompletten detaillierten Bewertungen.

Die Einsicht in letzteren Punkt wird von eBay bzw dem Kundenservice immer verleugnet. D.h. selbst wenn ich sehe, dass ein Mitglied 10 positive Bewertungen mit jeweils 4 niedrigen DSRs bekommen hat, darf ich dies dem Mitglied nicht sagen.

Auch wenn ich weiß, dass dies unter Umständen gewaltige Probleme für das Mitglied bedeuten kann. Einzig eine interne Meldung an andere Mitarbeiter ist möglich, womit das Mitglied aber immer noch keine Namen bekommt.

Es soll z.B. auf keinen Fall auch in internen Tools eine Dokumentation mit Real-Namen von Mitarbeitern versehen werden.
Jedes Case/Fall wird im Unify geöffnet und auch geschlossen. Die komplette Fallbeschreibung erfolgt im Unify. Hat man mit Kollegen gesprochen, wird selbst intern z.B. nur Teammanager DC oder Agent PS verwendet. Aussage hier war, dass Kunden durchaus die Möglichkeit haben ihre Unterlagen anzufordern. Nur frage ich mich hier, wieso aus den Namen der Mitarbeiter so ein Geheimnis gemacht wird?

Daher mein Beispiel:

Möchte man z.B. einen Kundenservice-Mitarbeiter zu einer Zeugenaussage zwingen, z.b. ob er detaillierte Bewertungen gesehen hat, muss man erstmal herausfinden mit wem wirklich telefoniert wurde.

Desweiteren wird von einem anderen Mitarbeiter berichtet, dass CCC in bestimmten Abteilungen auch ein “PayPal Admin-Tool” zur Verfügung stellt, welches dem Mitarbeiter den vollen Zugriff auf Zahlungsinformationen und Buchungssysteme ermöglicht. Und dies – wie alle anderen Tools – innerhalb eines externen und eigenständigen Unternehmens. Sollte es tatsächlich dort möglich sein, Buchungen durchzuführen oder zu reklamieren, dann frage ich mich, wieso diese – wirklich sehr sensible – Angelegenheit von einem externen Unternehmen mit – wahrscheinlich noch nicht ausreichend qualifizierten – Mitarbeitern durchgeführt werden muss? Bei einer Bank wären solche Zustände ein riesen Skandal, bei eBay soll dies jedoch in Ordnung sein? Ich kann dies nicht rechtlich bewerten, aber ich bin sicher, dass dies durchaus ein Thema ist, welches Datenschützer zum Nachdenken anregen sollte.

Um nochmal auf die gespeicherten Daten und die Nutzungsbedingungen/Datenschutzerklärungen zurück zu kommen. Bisher hat mir gegenüber jeder Mitarbeiter bzw. jeder Informant, welcher sich als solcher ausgegeben hat, zugestimmt, dass im Callcenter (CCC) eine strenge Regel herrscht die besagt, dass die Anrufer auf keinen Fall darüber informiert werden dürfen, dass Mitarbeiter bei CCC den vollen Zugriff auf eben diese Datensätze haben. Sei es der Zugriff auf private Nachrichten über eBay, Detailinformationen über Bewertungen, sowie Kontoinformationen der Verkäufer oder auch PayPal Zahlungsdetails oder Buchungen. Den Mitarbeitern im Callcenter wird angewiesen, die Anrufer schlichtweg anzulügen. Nun wage ich es zu behaupten, dass genau diese Anweisung – sofern sie wirklich der Wahrheit entspricht – einen groben Verstoß gegen Datenschutzgesetze darstellt. Der Kunde hat in jedem Fall das Recht zu erfahren, welche Unternehmen in welchem Umfang Zugriff auf seine Daten haben. Wenn ein Mitarbeiter nun den vollen Einblick hat, jedoch dem Kunden darüber komplett falsche Informationen zukommen lässt, ist dies in meinen Augen nicht in Ordnung und sollte genauer untersucht werden. Es ist doch rechtlich gesehen die Pflicht des Mitarbeiters, den Kunden auf Nachfrage mit richtigen Informationen über die gespeicherten und zugänglichen Daten zu versorgen, oder etwa nicht? Liebe eBay-Pressesprecherin, ich wäre höchst interessiert an einer Antwort auf diese Frage. Ebenso würde es mich interessieren, wie Sie es bewerten, wenn ihre beauftragten Unternehmen einfach pauschal Realnamen von Mitarbeitern an Dritte versenden, obwohl weder danach gefragt wurde, noch ein höherer Grund dafür vorlag? Da schreibt eine Person anonym (!) in einem Forum einen Beitrag und die Dame bei CCC schickt mir einen – wahrscheinlich – zugehörigen Realnamen eines Mitarbeiters der im Konflikt mit CCC steht. Sorry, aber DAS GEHT GAR NICHT und ich wäre froh, wenn dies rechtliche oder zumindest interne Konsequenzen hat. Denn – wie so schön von Lobschreibern der CCC angepriesen – gibt es doch einen Grund für “Wunsch-Namen”. Was bringt denn ein Pseudonym, wenn man selbst als Außenstehender sogar noch mit Realnamen versorgt wird?

Ich warte übrigens weiterhin auf eine Stellungnahme zur Angelegenheit. Man hat es bisher nicht geschafft, dies zu erledigen. Da frage ich mich aber ganz ehrlich: Wenn doch alle Vorwürfe so harmlos wären und alle Punkte durch Vereinbarungen und Nutzerverträge abgesichert sind, warum bedarf es dann mehrere Tage, um eine Stellungnahme hierzu abzugeben? Muss man da zunächst mehrere Tage die Rechtsabteilung beschäftigen? Ich bin gespannt, ob ich von der “CCC” und/oder eBay noch Antworten erhalte. Vielleicht käme dies auch der “Aufklärung” zugute.

Update 28.01.2013:
Die “Competence Call-Center GmbH” mit Sitz in Berlin, hat mir vor wenigen Stunden eine offizielle Stellungnahme zur Sache übermittelt. Ich habe – wie bereits im Beitrag erwähnt – um eine Stellungnahme gebeten, um dem Unternehmen die Gegendarstellung zu ermöglichen. Die Stellungnahme ist unter diesem Link erreichbar. Was mich persönlich stört ist die Tatsache, dass man auf den Großteil der Vorwürfe – darunter auch die Datenschutz-Problematik – gar nicht eingeht, sondern pauschal an eBay verweist. Von eBay gab es bisher leider keine Reaktion auf meine Anfrage. Ich würde allerdings klare und deutliche Aussagen – gerade in Bezug auf den Datenschutz – von eBay sehr begrüßen. Im Sellerforum haben sich zwischenzeitlich weitere – nach eigenen Angaben – Mitarbeiter der CCC gemeldet und die bisherigen Vorwürfe bestätigt, sowie weitere Informationen mitgeteilt. Natürlich werde ich das Thema weiter beobachten und bei Bedarf ein weiteres Update veröffentlichen.

Vor etwa einem Monat habe ich eine weitere Rückmeldung des BfDI zur Sache erhalten. Auf Anfrage des BfDI bei der Bundesagentur für Arbeit, was die Sicherheitslücken in den Portalen und den damaligen Angriff (wie im Blog des Hackers “sup3ria” beschrieben) auf Datenbanken betraf, hat man offensichtlich nicht so sehr an der Wahrheit festgehalten. Der BfDI teilte mir schriftlich mit:

“…hat mir die Bundesagentur für Arbeit (BA) mitgeteilt, dass sie sich der Notwendigkeit bewusst sei, Angriffen aus dem Internet durch entsprechende organisatorische und technische IT-Sicherheitsmaßnahmen zu begegnen. Konkreten Hinweisen auf Sicherheitsverletzungen werde die BA jederzeit nachgehen. Sofern Angriffe auf die Informationsstruktur oder die Internetportale der BA stattfinden würden, würden diese im Rahmen von definierten Geschäftsprozessen analysiert und entsprechende Gegenmaßnahmen zur Gefahrenabwehr ergriffen werden.”

Nun, ich behaupte jetzt einfach mal pauschal, dass diese Aussage der BA eine Lüge darstellt, wie man sie dreister nicht mehr aussprechen kann. Seit über einem Jahr existieren Sicherheitslücken bei den Portalen der BA, die einem Angreifer Zugriff auf Datenbanken und die Manipulation von Inhalten, sowie das Verteilen von Malware ermöglichen. Es ist über ein Jahr her, dass die BA über die Sicherheitsproblematik informiert wurde. Die Warnhinweise kamen von mir persönlich und auch von anderen Sicherheitsexperten, die ebenfalls auf Sicherheitslücken bei der Agentur für Arbeit gestoßen sind. Wie im letzten Beitrag schon erwähnt, hat mich die “Internetwache” ebenfalls zur BA kontaktiert und eine Liste mit Schwachstellen übersandt, die Portale der Bundesagentur für Arbeit betreffen und bisher zum größten Teil nicht geschlossen wurden, obwohl es bereits einen Erstkontakt gab. Würde man bei der BA tatsächlich Wert auf die Sicherheit der Datensätze und der Besucher legen, hätte man mich bereits kontaktiert. Selbst wenn ein Hinweis im Nirvana verschwindet, bleitb immernoch der Weg, direkten Kontakt aufzunehmen und Informationen zu erfragen. Seit über einem Jahr weise ich öffentlich auf Sicherheitslücken und einen erfolgten Hackerangriff (damaliger Blogeintrag von “sup3ria” mit Auszügen aus der Datenbank) hin und bisher hat sich bei mir keine Bundesagentur für Arbeit gemeldet. Würde man bei der BA auch nur mal einen Blick in die Logs werfen und dabei den Inhalt verstehen, hätte man sofort erkennen müssen, dass dort ein “sToRm” war, der diverse Sicherheitslücken überprüft und mehrmals bestätigt hat. So könnte man doch längst die behaupteten “Gegenmaßnahmen zur Gefahrenabwehr” ergreifen und die Lücken abdichten.

Weiter teilt mir der BfDI mit:

“Soweit in der Vergangenheit von Seiten Dritter Einbruchsversuche oder Informationsabschöpfungen gemeldet worden seien, habe sich dies nach internen Überprüfungen jedoch stets als haltlos oder nicht nachvollziehbar erwiesen.”

Da frage ich mich, ob “nicht nachvollziehbar” für die Herrschaften in der dortigen IT grundsätzlich heißt, dass die Lücken nicht vorhanden oder Angriffe nicht erfolgt sein können? Nur weil man in der IT unserer Bundesagentur für Arbeit nicht kompetent genug ist, mehrere SQL Injections und XSS-Schwachstellen nachzuvollziehen oder einen Datenbankauszug im Blogeintrag eines Hackers, mit den Inhalten der eigenen Datenbank zu vergleichen, heißt das noch lange nicht, dass die Warnmeldungen nur Quatsch sind. Was glauben die Leute denn, warum ich den BfDI einschalte? Weil mir langweilig ist und ich mich gerne mit Papierkram ärgere? Ne, also ehrlich.

So langsam verliere ich hier die Geduld und meine Nerven. Es kann doch nicht wahr sein, dass unsere Herrschaften im Bundestag ständig über IT-Sicherheit schwadronieren und uns “zum Schutz der Bürger” – wie lächerlich das auch sein mag – Gesetzesanpassungen und den Überwachungsstaat aufzwingen möchten, sich aber gleichzeitig herausstellt, dass die “IT-Sicherheits-Superhelden” unserer Regierung keine 5 Euro wert sind. Da wird ein “Cyber Abwehrzentrum” mit Steuergeldern finanziert, welches eigentlich für solche Fälle zuständig sein sollte und was unternehmen die Herrschaften? Genau, exakt so viel wie das BSI, welches ebenfalls vor vielen Monaten über die Sicherheitslücken informiert wurde.

Ich werde den Fall weiter verfolgen und natürlich auch weiter berichten. So langsam hängt mir die Sache aber zum Hals heraus.

Update 24.01.2013:
Bereits gestern Abend bin ich über einen Beitrag bei heise.de gestolpert, der ebenfalls die Sicherheitsproblematik auf Seiten der Arbeitsagentur betrifft. Wie das Portal berichtet, gab es bereits Fälle, bei denen eine unsichere URL-Weiterleitung im Portal missbraucht wurde, um Phishing-Mails zu verschicken bzw. diese mit präparierten Weiterleitungen auszustatten. Der Autor bei heise Security schreibt hierzu:

…Doch wer mit der Maus über den angegebenen Link fährt, erlebt eine Überraschung: Er zeigt auf eine Unterseite von jobboerse.arbeitsagentur.de. Das eigentliche Ziel, die inzwischen nicht mehr erreichbare Phishing-Seite, hängt als Parameter an der verlinkten URL. Die Cyber-Gauner missbrauchen ein Umleitungsskript der Arbeitsagentur, um das Phishing-Opfer in spe in die Falle zu locken…

Da die Bundesagentur für Arbeit nun sicherlich erhöhte Aufmerksamkeit aus der “Szene” genießt, gehe ich davon aus, dass es nur eine Frage der Zeit ist, bis weitere Sicherheitslücken – die ggf. auch zur Kontrollübernahme des Systems führen könnten – von böswilligen Angreifern aufgedeckt und ausgenutzt werden.

Neben den bereits bekannten Schwachstellen, habe ich heute auch ein nettes Feature in der Registrierung des Portals entdeckt, welches für Spammer und Phisher ein praktisches Werkzeug darstellt. Die Parameter der Registrierung werden nur unzureichend gefiltert und selbst eine “Massenregistrierung” ist problemlos möglich. Es gibt weder eine Captcha-Abfrage, noch eine IP-Sperre oder Ähnliches. Zumindest ist mir auf meinem Streifzug nichts in der Richtung aufgefallen.

Um die Problematik etwas genauer darstellen zu können, habe ich mir kurz ein paar Minuten Zeit genommen und einen Bot programmiert, der die Schwachstelle im System ausnutzen und dadurch massenweise Spam/Phishing-Mails versenden kann. In folgendem Video demonstriere ich, dass dieser Bot sehr einfach arbeitet. Dabei habe ich die Vorgänge etwas verlangsamt, um das Ganze besser sichtbar zu machen. Der MEGA-Bot kann bei Bedarf mit Empfänger-Listen verwendet werden, was für einem Massenversand natürlich praktisch ist. Im Video nutze ich allerdings nur eine einzelne Adresse bei Spambog, um die Funktionalität unter Beweis zu stellen.

Das Video kann man sich auch direkt bei YouTube (zum Video) oder bei Dailymotion (zum Video) ansehen. Wer sich die E-Mails genauer ansehen möchte, kann dies bei Spambog tun: http://www.spambog.com/ Einloggen kann man sich dort mit dem eMail-Alias: “megabot” und der Domain “cust.in“. Ein Passwort wird nicht benötigt. Die E-Mails wurden zwischenzeitlich vom Server entfernt. Im zweiten Video (weiter unten im Beitrag) kann man aber genauer erkennen, welches Potential die Problematik mit sich bringt und wie so eine Nachricht aussehen könnte.

Man sieht bei den empfangenen Nachrichten, dass das Übersenden von eigenem Code möglich wäre (ungefilterte Paramteter) und natürlich auch Links in den Nachrichten problemlos möglich sind. Die Länge der Nachricht ist weder begrenzt, noch wird der Inhalt durch das Formular bei MEGA kontrolliert. Es wäre also problemlos möglich, manipulierte Inhalte mit präparierten Links zu Malware oder infizierten Seiten, sowie zu Formularen zu übersenden. Es lässt sich eine Menge Unsinn damit treiben, darum sollte man bei MEGA vielleicht doch nochmal ein wenig am Portal schrauben.

Hinweis: Nein, den Bot gibt es weder zum Download, noch werde ich genauere Anleitungen hierzu verbreiten. Ich möchte mit dem Beitrag lediglich eine Schwachstelle demonstrieren, die durchaus zu Problemen führen könnte.

Update 22.01.2013:
Da einige Blogger über die Angelegenheit berichten und dabei ein paar Kleinigkeiten unpassend formuliert wurden, möchte ich an der Stelle nochmal ein paar Details klarstellen. Es geht hierbei nicht um eine “Sicherheitslücke” im eigentlichen Sinne, sondern mehr um eine Schwachstelle in der Anwendung. Schwachstelle, weil es eine Funktion im System ist, die eine Schwäche hat – nämlich die Filterung/Abfrage von Eingaben. Das Hauptproblem besteht nicht darin, dass der Massenversand an EINEN Empfänger möglich wird, sondern der Massenversand von Spam- und Phishing-Mails an beliebige Empfänger mit dem Absender “MEGA” möglich ist. Ein Angreifer könnte dieses “Feature” nutzen, um zum Beispiel auch gezieltes Phishing bei Benutzern von “MEGA” zu betreiben. Dabei könnte er als Nachricht eine Aufforderung zur Eingabe von Benutzerdaten übersenden und einen Link einfügen, der zu einem präparierten Formular führt. Da der Absender klar und unverändert als echt erkannt wird, könnten selbst erfahrene User auf das Phishing hereinfallen. Zudem ermöglicht die Schwachstelle natürlich auch eine – quasi – Schnittstelle zum Versand von Spam oder einer Art “Mail-Bombe” auf gezielte Empfänger und dies dann völlig anonym. Wie bereits im Beitrag erwähnt, wäre es auch möglich, direkt Listen mit Empfängern im Bot zu verwenden und die Nachrichten zu personalisieren. Der Ablauf wurde im Bot – für das Video – bewusst verlangsamt, um die Art und Weise der Problematik besser erkennbar zu machen. Es wäre deutlich schneller möglich, eine Masse von Nachrichten über MEGA zu versenden.

Update 23.01.2013:
Hier noch ein Video, welches den Bot im Umgang mit Empfängerlisten und personalisierten Nachrichten demonstriert. Zur Demonstration wurden 4 unterschiedliche Empfänger mit Namen angesprochen. Durch weitere Inhalte wird der eigentliche Text von MEGA komplett aus dem Sichtfeld genommen, so dass der User möglichst keinen Verdacht schöpft, dass es sich hierbei um Phishing handelt. Natürlich könnte man für den mitgeschickten Link auch eine Domain registrieren, die der von MEGA sehr ähnlich ist. Für die Demonstration reicht aber ein einfacher Shortlink über “goo.gl”.

Sollte ich bei MEGA entsprechende Änderungen feststellen, die das Problem beseitigen, werde ich natürlich ein weiteres Update zur Angelegenheit schreiben. Die Betreiber wurden bereits informiert. Ich gehe davon aus, dass man sich die Sache bei Gelegenheit genauer ansehen wird.