foodwatch.de ignoriert Sicherheitshinweise

sToRm sToRm
 27.07.2011  17:03
14052 0
foodwatch.de ignoriert Sicherheitshinweise

Die als "Essensretter" bekannten Betreiber des Internetportals foodwatch.de, ignorieren seit Tagen eine von verschiedenen Seiten gemeldete Schwachstelle. Wir wurden letzte Woche von einem "Finder" über die Problematik informiert und konnten die Anfälligkeit des Internetportals bestätigen. Auch eine von uns übersandte Meldung bezüglich der Schwachstelle wurde bisher anscheinend ignoriert. Man hat weder auf die Hinweise geantwortet, noch hat man die Sicherheitsmängel beseitigt.

Die entdeckte Schwachstelle ermöglicht es einem Angreifer, beliebigen Schadcode in die Website einzufügen. Ein Besucher der über einen manipulierten Link auf die Website gelangt könnte so ausspioniert oder auch mit Malware "infiziert" werden. Weitere Schwachstellen, die ein Eindringen in geschützte Bereiche ermöglichen, können an dieser Stelle nicht ausgeschlossen werden.

Nicht selten passiert es, dass Seitenbetreiber die eigenen Fehler nicht einsehen oder Hinweise von Außen nicht wahrnemen möchten. Von einer Gemeinschaft, die sich für den Schutz des Verbrauchers in Sachen Lebensmittel einsetzt, war es aber nicht wirklich zu erwarten, dass keinerlei Reaktion kommt, zumal man eigentlich schon denkt, dass die Sicherheit der Besucher dort ebenfalls ein wichtiger Punkt wäre. 

Man hofft, dass die öffentliche Ansprache der Problematik, die Verantwortlichen zur Vernunft bringt. Natürlich möchte man auch in diesem Fall öffentlich erwähnen, dass die Hinweise und auch die Hilfestellung keinerlei kommerziellen Hintergrund haben. Es ist ein ehrenamtliches Engagement mit dem Ziel, das Internet ein wenig sicherer zu gestalten. Auch die Betreiber von foodwatch.de können unsere Hilfe gerne in Anspruch nehmen.

Update I - 05.08.2011:
Leider konnten wir bis jetzt keinerlei Reaktion der Betreiber feststellen. Auch die Schwachstelle wurde bisher nicht beseitigt, so dass weiterhin eine Gefahr für die Besucher und auch die Administratoren des Portals besteht. Mit einem weiteren Hinweis wird man nun versuchen, die Betreiber doch noch zu einer positiven Reaktion zu bewegen.
In der Zwischenzeit ein wenig "Musik":

Man wartet weiterhin auf eine Reaktion. Der erneute Hinweis wurde soeben abgeschickt.

Update II - 06.08.2011:
Wie zu erwarten, hat man bei foodwatch.de nun ebenfalls reagiert, nachdem bei YouTube ein entsprechendes Video hochgeladen und auch von anderen Medien über die Schwachstelle berichtet wurde. Herr Rücker von foodwatch.de hat auf unsere weitere Mail vom 05.08. geantwortet. In unserer Email haben wir lediglich daran erinnert, dass bisher keine Rückmeldung auf unsere und andere Hinweise zu Schwachstellen bei foodwatch.de erfolgt ist bzw. unsere Nachrichten bisher unbeantwortet blieben. Auch die Schwachstellen wurden bis dahin nicht beseitigt, darum haben wir die Betreiber gebeten, dies nachzuholen, da die Besucher von foodwatch.de einer Gefahr ausgesetzt waren.

Hier die originale Nachricht (gestern) von uns an foodwatch:
...

Sehr geehrte Damen und Herren,  

vor einigen Tagen haben wir Sie auf eine potentielle Schwachstelle im Portal foodwatch.de hingewiesen. Leider blieb unsere Nachricht bisher unbeantwortet und auch die Sicherheitsproblematik wurde bisher nicht behoben. Wir bitte Sie, dies möglichst umgehend nachzuholen, da die Besucher der Website einer potentiellen Gefahr ausgesetzt sind.

Ich freue mich auf Ihre Antwort.


Mit besten Grüßen
...

Die Reaktion auf unsere Email war völlig unpassend und eher unfreundlich. Man hat hier nun den Eindruck, dass man bei foodwatch.de vor lauter Arroganz keine Rücksicht auf die Sicherheit der Nutzer legt. So schreibt der Herr Rücker, dass er zwar "Verständnis für die Akquisebemühungen" habe, jedoch "weniger für den Stil und die unaufgeforderte Nachricht nun aber umgehend zu antworten". Weiter lässt er verstehen, dass die "Art und Weise der Akquise" ihn davon abhalten würde, mit uns zusammen zu arbeiten. Als "gut gemeinten Rat" möchte er mitteilen "Wenn es Ihnen um „die Besucher der Website“, die Sie laut Ihrer E-Mail „einer potentiellen Gefahr ausgesetzt“ sehen, geht, erreichen Sie mit einem anderen Ton und einem fundierten, aber weniger aggressiven Hinweis vielleicht mehr. Das gilt auch im konkreten Fall, sollten Ihre Einschätzung über die Existenz von Sicherheitslücken Bestand haben.".

Nun, Herr Rücker, im Prinzip sollte Ihnen der gesunde Menschenverstand - welchen Sie ja angesichts der Berichterstattung bei foodwatch.de haben sollten - zu verstehen geben, dass die Art und Weise eines Hinweises zu Schwachstellen völlig egal ist. Sie sollten froh sein, dass überhaupt eine Benachrichtigung stattgefunden hat, egal in welcher Form. Hätten "böse Jungs" die Schwachstellen vor uns entdeckt, dann wäre das Ganze wohl nicht so schön für Sie ausgegangen. Dass eine Nachricht zu Sicherheitslücken "unaufgefordert" bei Ihnen eintrifft, würde ich nun als normal bezeichnen. Oder wie stellen Sie sich das Ganze vor? Wenn dann ein gutmütiger und aufmerksamer Mensch, eine Schwachstelle in Ihrem Webportal entdeckt und Sie unverzüglich darauf hinweist bzw. auch andere Leute Sie darauf hinweisen - und dies wohlgemerkt in einem anständigen Ton und auf höfliche Art und Weise - und Sie keinen Bedarf darin sehen, die Schwachstelle zu beseitigen oder zumindest Kontakt aufzunehmen, dann brauchen Sie sich nicht wundern, wenn dieser Finder nach Wochen angepisst ist und öffentlich über die äußerst unprofessionelle Art und Weise von Ihnen berichtet.

Uns geht es ausschließlich um die Sicherheit der Nutzer, die täglich durchs Netz surfen und auch Ihre Website aufsuchen. So, wie es Ihnen bei foodwatch um die Aufklärung der Verbraucher zu bestimmten Nahrungsmitteln geht, legen wir Wert darauf, dass diese Verbraucher ohne Angst durchs Netz surfen können. Darum nutzen wir unsere Freizeit und gehen auf Entdeckungsreise. Unbezahlt und meist ohne Dank der betroffenen Betreiber, aber in jedem Fall mit Dank der User.

foodwatch zeigt doch öffentlich in Videos bei YouTube, dass ihnen der Schutz und die Aufklärung der Verbraucher wichtiger ist, als ein angemessener Ton gegenüber Pressesprechern großer Unternehmen. Warum also, sollten wir bei Ihnen mit Blumen an der Tür klopfen, wenn Sie die freundlichen Worte bereits einige Tage zuvor einfach ignoriert haben?!

Immerhin wurde die gemeldete Schwachstelle bei foodwatch.de nun beseitigt. Mehr wollte man mit der Berichterstattung auch nicht erreichen. Ein "Dankeschön" für die Bemühungen hat man zwar von foodwatch nicht gehört, aber wenigstens hat man reagiert.