Politik.de ignoriert kritische Sicherheitslücken
sToRm 
Das sehr bekannte Internetportal Politik.de ist von mehreren Schwachstellen betroffen, die eine enorme Gefahr für die User und auch die Betreiber darstellen. Darunter auch eine sehr kritische SQL Injection Sicherheitslücke, die einen Zugriff auf sämtliche Datenbanken des jeweiligen DB-Nutzers auf dem Server, sowie ggf. eine komplette Kontrollübernahme des Servers ermöglichen könnte. Trotz mehreren, unterschiedlichen Versuchen, Kontakt mit den Betreibern aufzunehmen, gibt es keinerlei Rückmeldung und auch die Schwachstellen wurden nicht beseitigt. ...
Vor wenigen Monaten wurde über einen Hackerangriff auf das Portal Welt.de (Welt Online) berichtet (Bericht bei gulli). Dabei wurden - laut Angaben des Hackers - unzählige Informationen aus der Datenbank kopiert, die insbesondere die registrierten Nutzer des Internetportals betreffen. Der Hack brachte eine Welle von Berichten im Netz zum Rollen und viele User kritisierten die Verhaltensweise des Hackers, wie auch die des Betreibers. Ich persönlich habe mich damals nach dem Bericht auf die Suche nach dem Verantwortlichen gemacht und der Kripo entsprechendes Material, sowie eine Zeugenaussage geliefert. Ähnliches könnte nun auch bei Politik.de passieren, es sei denn, die Betreiber werden so langsam wach und hören auf, die Warnungen zu ignorieren.
Gerade die Tatsache, dass Welt.de in Kooperation mit Politik.de steht und die betroffenen Betreiber sich wohl sicherlich kennen werden, die Jungs bei Politik.de daher auch bestimmt die Problematik bei ihrem Kooperationspartner mitbekommen haben, lässt bei mir nicht wirklich großes Verständnis für die ignorante Art und Weise aufkommen. Bereits am 17.11.2011 wurde die Schwachstelle von mir aufgedeckt und sofort (per Fax weil mitten in der Nacht) bei den Betreibern gemeldet. Als auf das Fax keine Antwort erfolgte, habe ich einige Tage später, am 28.11. eine E-Mail mit der Bitte um dringende Kontaktaufnahme übersandt, die leider ebenfalls unbeantwortet blieb. Als man dann auch auf die Bitte zur Kontaktaufnahme, über das Facebook-Profil von Politik.de nicht reagiert hat, habe ich mich sogar in deren Forum registriert und einen Beitrag im internen Bereich verfasst, welcher zwar bereits 21 Mal gelesen wurde, aber leider ebenfalls keine Reaktion brachte.
Ich möchte daher mit diesem Beitrag hier, eine öffentliche Warnung an alle registrierten Nutzer aussprechen und die Betreiber nun öffentlich darum bitten, Kontakt mit mir aufzunehmen, damit ich Details übersenden und ggf. bei der Beseitigung der Schwachstellen helfen kann. Die ignorante Verhaltensweise der Verantwortlichen kann ich beim besten Willen nicht nachvollziehen und ich sehe es als in einem besonderen öffentlichen Interesse stehend, dieses grob fahrlässige Handeln oder auch Nichthandeln, öffentlich darzustellen. Die User, die sich dort registrieren und vielleicht sogar sensibele Informationen im eigentlich geschützten Bereich speichern, sowie private Nachrichten über das System versenden, haben ein Recht darauf zu erfahren, wie wenig Interesse die Betreiber für die Sicherheit der Daten aufbringen. Aktuell sind es laut den Statistiken 60.087 registrierte User, die sicherlich nicht besonders erfreut über diese Nachricht sein werden.
Aufgrund des Vorfalls bei Mobile2Day, möchte ich an dieser Stelle, aus Sicherheitsgründen keine weiteren Informationen, Screenshots oder Ähnliches bezüglich der Schwachstellen bei Politik.de veröffentlichen. Ich hoffe, dass die Leser hierfür Verständnis haben.
Die Verantwortlichen von Politik.de können sich gerne bei mir melden und sich die Infos abholen, allerdings würde mich dann auch interessieren, warum man derartige Hinweise schlichtweg einfach ignoriert. Hierzu könnte man ja mal über ein öffentliches Statement nachdenken.
Update 07.12.2011:
Nachdem man auf diesen Bericht hier ebenfalls nicht reagiert hat, habe ich mir gestern noch die Mühe gemacht und mich dort in deren Forum registriert, um bei aktiven Themen (insgesamt 3) einen Hinweis und die Bitte zur Kontaktaufnahme zu platzieren. Was danach geschah, hält man doch im Kopf nicht aus. Zunächst musste ich mich von einem dort registrierten User mehr oder weniger "anmaulen" lassen, weil ich deren Thread "zuspamme". Als ich die Problematik und die Gefahr für über 60.000 User schilderte, ignorierte man dies und führte die Diskussion zum eigentlichen Thema weiter, als wäre nie was passiert.
Heute Mittag erreichte mich dann eine E-Mail von Politik.de mit folgendem Inhalt:
"Sehr geehrter Herr Frenzel,
zunächst vielen Dank für Ihr Fax und Ihre Email. Wir haben ihren Hinweis auf kritische Sicherheitslücken auf politik.de erhalten und arbeiten bereits an der Verbesserung der Seite, bzw. der Schließung der kritischen Lücken. Ich möchte mich noch einmal herzlich für Ihren Hinweis bedanken.
Mit freundlichen Grüßen
*** "
Nun, zunächst ist es ja positiv, dass man sich nun - endlich - mal hier meldet und auf die Hinweise reagiert. Auch die Tatsache, dass man sich für die Hinweise bedankt, schätze ich sehr. Allerdings frage ich mich (und diese Frage habe ich auch in der Antwort auf diese E-Mail gestellt), wie man die Sicherheitslücken beseitigen möchte, ohne nachzufragen, wo diese sich überhaupt befinden?! Aber gut, warten wir einmal ab was passiert.
Was meinen Kontaktversuch in deren Forum betrifft, da hat man vor wenigen Minuten doch tatsächlich eine Verwarnung wegen "Spam" ausgesprochen. Naja, ist ja auch egal. Das Forum werde ich sicherlich eh nicht mehr nutzen. Allerdings muss man sich die ganze Sache wirklich mal auf der Zunge zergehen lassen.
Update 09.12.2011:
In der vergangenen Nacht gab es anscheindend technische Probleme bei Politik.de. Ich wollte nachsehen, ob die Schwachstellen in der Zwischenzeit vielleicht schon beseitigt wurden (ein Wunder wäre wahr geworden), jedoch stieß ich lediglich auf eine Fehlermeldung "Die Verbindung zur Datenbank war nicht möglich". Ich dachte erst, es könnte sich tatsächlich um einen Hack handeln, der Support von Politik.de meldete aber in einem Thread innerhalb des Forums, dass es sich um technische Probleme handelte, die aber bereits behoben wurden. Die Probleme hielten bis vor wenigen Stunden an. Das Portal ist aktuell wieder erreichbar, jedoch besteht die Gefahr der Sicherheitsproblematik weiterhin. Ich weiß ja nicht ob und was die an ihrem Server/Portal gebastelt haben, die Schwachstellen wurden jedoch definitiv nicht beseitigt. Es besteht daher weiterhin eine Gefahr für sämtliche User und Besucher des Portals Politik.de. Ich habe in der Zwischenzeit leider auch keinerlei Rückmeldung/Antwort mehr erhalten und auch nach Details zur Sicherheitsproblematik wurde nicht gefragt.
Update 12.12.2011:
Politik.de ist offline. Die Betreiber haben das Portal aus Sicherheitsgründen vorübergehend vom Netz genommen. Eine weise Entscheidung wie ich finde. Am Samstag kurz vor 0 Uhr erhielt ich eine weitere E-Mail der polidia GmbH. Man hat sich erneut für die Hinweise bedankt und mitgeteilt, dass man sich derzeit damit beschäftigt, die Lücken möglichst schnell zu beseitigen. Leider - ich kann es beim besten Willen nicht nachvollziehen - hat man bis jetzt noch nicht nach Details zu den Schwachstellen gefragt. Scheinbar möchte man selbst auf die Jagd gehen und auf Unterstützung von Außen verzichten. Mir kann es ja egal sein. Zumindest ist das Portal im aktuellen Zustand (offline) unschädlich und man bemüht sich um Beseitigung der Problematik.
Natürlich werde ich an dieser Stelle weiter über den Fall berichten, sobald es Neuigkeiten gibt.
