Sicherheitslücken bei BASE (E-Plus Gruppe) aufgedeckt

Pünktlich zum Wochenstart hat mich ein Hinweis zu Sicherheitslücken beim bekannten Netzanbieter BASE (E-Plus Gruppe) erreicht. Das Ausmaß der Sicherheitsproblematik ist in meinen Augen enorm. Über eine SQL Injection wäre es einem Angreifer möglich gewesen, benutzerdefinierte bzw. manipulierte Datenbankabfragen durchzuführen und so an sensible Informationen zu gelangen. Da es sich um den Chat-Bereich von BASE handelte, kann man davon ausgehen, dass durchaus auch Datensätze über Benutzer/Kunden vorhanden sind und durch die Sicherheitslücke einem Angreifer ausgesetzt gewesen wären. Ob ein Übergriff auf die Datenbank(en) stattgefunden hat ist bislang unklar. Klar ist nur, dass es weitere Schwachstellen im Portal von BASE gibt, die nicht unbedingt mit einem Lächeln zu behandeln sind.

Den Hinweis auf die SQL Injection Schwachstelle habe ich über Twitter von „LiQuiD“ erhalten. Ich habe umgehend reagiert und die Betreiber nach kürzester Zeit über die Problematik informiert. Meiner Bitte um Kontaktaufnahme ist man allerdings bei BASE nicht nachgegangen. Stattdessen hat man die – scheinbar bereits bekannte – Schwachstelle noch am selbigen Tag geschlossen. Die sehr schnelle Reaktion ist löblich, allerdings verstehe ich nicht, warum man nicht wenigstens eine kurze Antwort per E-Mail übersandt hat.

Eine Nachkontrolle der Schwachstelle(n) ergab, dass diese durch Filterung der Parameter nun geschlossen sein sollten. Mein Test war nicht ausführlich – immerhin fehlt mir die Genehmigung seitens der Betreiber, was meine Handlungen stark einschränkt – aber bereits bei der ersten Abfrage wurde die Manipulation abgefangen. Auch der Test weiterer Parameter verhielt sich gleich. Man kann also davon ausgehen, dass die Lücken – zumindest im angesprochenen Bereich – dicht sind. Ein wenig stutzig wurde ich aber, als ich für den Beitrag noch ein wenig recherchiert habe. Denn bei diesem Vorgang sind mir gleich weitere Problemstellen ins Auge gesprungen. Hierzu werde ich aber – vorerst – keine Äußerungen vornehmen.

Ich werde nun abwarten, ob man sich bei E-Plus doch noch dazu entscheidet, zumindest eine kurze Rückmeldung zu geben. Sollte das tatsächlich noch passieren, wäre ich bereit die weiteren Funde mitzuteilen. Ich möchte aber nicht der Idiot sein, welcher sich die Mühe macht derartige Unternehmen vor Angriffen zu schützen, um nicht einmal ein „Danke“ dafür zu hören/lesen. Dann wollen wir mal abwarten, was der Tag so mit sich bringt. ;o)

Update:
Zwischenzeitlich hat sich der „Operativer Datenschutz SI Integrity Services“ per E-Mail gemeldet und mitgeteilt, dass die Sicherheitsproblematik beseitigt wurde. Zwar behauptet man, dass die SQL Injection Schwachstelle nicht geeignet war, um Datensätze abzurufen, man habe aber trotzdem reagiert und die Problematik beseitigt. Die Aussage, dass die Sicherheitslücke nicht geeignet war, Datensätze aus der Datenbank zu holen, ist allerdings nicht richtig. Wie im Beitrag erwähnt, habe ich eigene Abfragen – soweit es aus rechtlicher Sicht unbedenklich ist – durchgeführt. Die zurückgegebenen Werte waren ein klares Zeichen dafür, dass auch direkt Einträge der Datenbank hätten abgefragt werden können.