Fake-Accounts, eMeidi und süsch Sache
Letscht mau hani ja ä Vorschlag gschribe gha wieme öpis gäge Fake-Accounts chönnt ungernäh und augemein d Qualität vor PG-Community steigere. Dürne Artiku vom eMeidi ischmr auerdings bewusst worde, dass das ja garnid im inträsse isch vo PG. Sie wei doch ke Community mit höcher Qualität und wenige Fake-Accounts, äuä, das isch dene offesichtlech völlig egau. Je meh Fake-Accounts und Mehrfachaccounts, desto meh “User” uf PG = “meistbesuchtes Freizeitportal der Schweiz”.
Dr eMeidi hetsech z.B. mit völlig sinnlose Date chönne registriere, nidmau ä Postleitzahl wird überprüft! Pinlecher geits nüm. Würklech eifach nume piinlech.
Wennmr scho bim eMeidi si, da muess sich ja mitere Grichtsverhandlig usenang setze, wüuer vo PG aklagt isch worde daser ihne Schade zuegfüegt het. Da es ihm glunge isch d Passwörter vo PG-User ohni grossi asträngig usezläse etc. Aues nachzläse ufm blog vom eMeidi. Itz wirder tatsächlech aklagt vo PG uf Schadeersatz. Drbi het er die Lücke ersch veröffentlecht nachdem ers PG gseit het und sies gflickt hei. Eigentlech sötte sie ihm quasi no dankbar sii dass er sie druf ufmerksam het gmacht dass ihri Sicherheit schlichtweg nid vorhande isch gsi. Aber äbe, läset nech am beste säuber dür d Artikle bim eMeidi. Hoffe er chunnt heil us dere Sach use.
Sorry PG, aber es wird eifach immer pinlecher.
Drbi fingi ds Prinzip vor Site ja würklech cool.
August 17, 2007 um 8:13 Uhr nachmittags
hmm ii merke ii dim Artiku irgendwie ee greizti Stimmig
….
… ii gloub mi cha gar nid gnue chopfschüttle über die seeeehr fragwürdigi “organisation”….
@PG
Diir versäget eifach ii aune Punkte … jo sPrinzip wär guet aber es isch eifach nume no Pindlech so ischme ömu ufem beste Weg die Reale Users zverlüüre… easy liegt vielech ii euem intresse… weis nid …. gseht so us. ii gseh eifach nume no ei Lösig fürs Problem …. es kompletts Redesigne aber es PROFESSIONELLS gmachts …
mitemne Techblog wo dUsers informiert wärde über lecks uu so … uu so sache wie mitem emeidi neeeei …kopfschütteln… ihm söttet dir danke jo!
aber gäu houbtsach Geld fliesst …..
jojo
@emeidi …
Mach nume wieter so uu au viel Glück de bir Houbtverhandlig! …
August 18, 2007 um 10:36 Uhr vormittags
Ja so ziemlech greizt
ehh es cha eifach nid sii dasme sich mit komplette blödsinns-date cha registriere, das isch wiedermau so unprofessionell und zeigt ja dass PG natürlech sehr guet mit tonnewiis Fake-Accounts cha läbe. Ihne isch das völlig egau. Ou d Qualität und Seriosität vo dr Community schiint nid wichtig zsii.
Schad.
August 19, 2007 um 2:20 Uhr nachmittags
@ale1981: I weiss jo ned woher da grücht chund - aber dass de emeidi eus über die entdeckti lücke informiert het esch absolut falsch. Schaad, dass mitlerwiile au do (wie au in andere blogs) eifach ungnügend recherchiert werd.
Zum punkt mit de fake accounts chan i nur soviel säge: Es esch eus bewusst, dass d’date ned optimal prüft werdid. Aber wenn öpper en fake account wot erstelle, chönnt er das au, wenn mer d’postleitzahl würd prüfe. Es wär eifach wünschenswert, wenn ned us jeder mucke grad en elfant gmacht werd!
August 19, 2007 um 6:03 Uhr nachmittags
ehja dämfau het er auso gloge wener schribt daser pg über d lücke informiert het..?! was itz d wahrheit isch, wüsset nur dir säuber, isch o nid mini sach
aber das wägde fakeaccounts fingi itz scho chli ä usred. i mache ke elefant drus. aber lueg, da isch es formular wo d user chöi igabe mache und de ischs für mi säubstverständlech dasme die igabe prüeft. emu sowits möglech isch. und ä PLZ z prüefe isch ja ke ufwand, das muesch zuegäh
August 19, 2007 um 10:15 Uhr nachmittags
Hmm, i wellem vo sine blogs werd denn das behauptet? I han zwar s’meiste gläse, aber demfall esch mer das irgendwie entgange…de emeidi het mit eus no NIE kontakt ufgnoh…de einzigi kontakt wo bestoht esch dä über sin blog (und dä im grichtssaal)…
Fend i überhaupt ned…es esch chli asichtssach, aber mer werdid die fordrig sicher berücksichtige wenn i de nächste ziit d’registration überarbeitet werd…die esch jo au scho sit pg ur-zite gliich, dorum esch sie so oder so fällig!
August 20, 2007 um 8:35 Uhr vormittags
Ok vielleicht hab ich das etwas falsch interpretiert, aber zumindest schreibt er an verschiedensten stellen, dass er die Lücke erst öffentlich gemacht hat nachdem sie gestopft wurde (daraus hatte ich gefolgert dass er euch informiert hat)…ist z.b. in den Kommentaren hier http://blog.emeidi.com/2006/06/der-dritte-partyguide-hack.html zu lesen.
Hm weiss nid werum ig itz hochdütsch gschribe ha, aber egau
aber i finges auso scho, zumne formular ghört ä validierig, isch für mi säubstverständlech. Aber wenn das ja wird cho, isch ja guet.
Oli, vilech liesisch das ja ou no, isch eigentlech es redesign planet oder spiut das i eune planige garke Roue? Auso sowou optisch und ou chli was drhinge steckt (vom html code her). Würdmi no intressiere.
August 20, 2007 um 10:14 Uhr vormittags
logisch schribt er das…. so dumm isch er au nid… das kostet denk weniger wenn er das schribt… aber isch äs effektiv so gsy… ? ig denkä ds urteil wird da klar ufzeigä wie das gsy isch! ig stelle fescht das äs da innä scho fasch wiä zu hitlers zeitä louft. einä seit öppis alli gloubä ihm… zersch imä klinä keller mit paar ahänger när wärdes immer mehr… aus armi sichä :-p
August 20, 2007 um 11:19 Uhr vormittags
Jo, das esch sowiet scho korrekt. Er het eus aber ned informiert. Mer händ sini agriff jewiels bemerkt und d’lücke gstopft bevor er de blog veröffentlicht het. Öb mer vom emeidi kontaktiert wurde wärid, wenn mer d’lücke ned bemerkt hättid, chömmer also ned säge. Was mer aber chan säge esch, dass d’aklag rein wäg sim verhalte zustand cho esch. Hätt er eus über d’lücke informiert statt eifach mol passwörter z’klaue wärs wohl nie zunere azeig cho. I dem fall hät mer notürli au über en wiiteri zämearbet oder entlöhnig für die gfundeni schwachstell chönne rede. Aber so wien er sich verhalte het, mues er sich ned über die aklag wundere. Welles unternähme würd scho danke, wenn öpper passwörter vo 13′000 accounts chlauet und die nochher veröffentlicht!?
Zum redesign: I glaub mer händ da scho vor einiger ziit mol agsproche, aber i weiss nüm wie usführlich das gsi esch. En überarbeitig vom design und umstellig vom layout uf css werd früner oder spöter erfolge. Zerst mues aber alle alte balast abgworfe werde. Mer sind jetzt scho es johr dra, alti siite dur neui zersetze. Das vorgehe esch zum einte wichtig um de code z’modernisiere (security, usw.) und zum andere um s’layout templates basiert zmache. Sobald die modernisierig abgschlosse esch, hämmer nochher endli d’möglichkeit s’layout relativ eifach azpasse. Bes es aber sowiet esch, werd mer leider rein vom html code her ned chönne erkenne was gnau de stand vo de arbeite esch. Mer send eus de problematik also durchus bewusst, müend aber zerst d’applikation modernisiere bevor mer es redesign vom layout chönd astrebe.
Es werd mer grad weder bewusst, dass en eigne blog eigentli au scho länger uf minere todo liste stoht. I sätt dem glaub mol chli meh priorität schenke, well grad die informatione wärid sicher au no für andere leser interessant.
August 20, 2007 um 12:34 Uhr nachmittags
klatsch klatsch … das klingt gut Oli …. hoffe es wird au gmacht… Jo ee eigente Blog wär scho wichtig … süsch gsehts äbe us wieder aues geng weit vertusche drum gits au afang ee paar Blogs wo über PG schriebe uu das logisch nid positiv … will dUsers hei zarächt druf zerfahre was mit ihrne Date passiert isch was gänderet wird etc.
August 20, 2007 um 8:38 Uhr nachmittags
ja das ghörtme gärn Oli
bi gspannt. Sone blog vo PG wär haut scho gäbig, zum d lüüt ufem loufende zha und z informiere. Gheisch es wordpress uf irgend ä server vo euch und machsch ä PG-techblog, das wärs doch 
dä vo tilllate (ja das wort wird bi mir nid dür stärnli ersetzt ;)) isch nämlech teilwiis ächt no intressant zum so chli hinger d kulisse zluege.
August 20, 2007 um 9:54 Uhr nachmittags
@ale1981: I weiss jo ned woher da grücht chund - aber dass de emeidi eus über die entdeckti lücke informiert het esch absolut falsch.
Ich denke, es ist an der Zeit, ein offizielles Statement abzugeben:
Partyguide-Hack #1: Ich habe einen Partyguide-Mitarbeiter (Kürzel: FdL) zwei Tage nachdem ich Kenntnis von der Sicherheitslücke erfahren habe informiert. Vier Stunden später war die Lücke geschlossen.
Partyguide-Hack #3: Ich habe denselben Partyguide-Member durch die Blume wissen lassen, dass wieder etwas im Tun war, bin aber nicht spezifisch geworden. Im Anschluss an die Veröffentlichung des Artikels war für einige Wochen auch ein CSV-File von meinem Server abrufbar, dass 13′000 Benutzernamen und deren (zum Zeitpunkt der Veröffentlichung nicht mehr gültigen) Passwörter enthielt.
Partyguide-Hack #4, #5: Ich habe Partyguide nicht über die Lücke informiert, insbesondere weil es mich Wunder nahm, wie lange man walten und schalten konnte, ohne dass den Profis vom Dienst etwas auffiel. Sobald die Lücken nachweislich geschlossen worden waren, ging ich mit dem Blog-Artikel an die Öffentlichkeit. Bei #4 wurden keine Passwörter veröffentlicht; bei #5 ging es “nur” um Vor- und Nachnamen der Benutzer, die ausgelesen werden konnten.
Partyguide will mir nun einen Strick daraus drehen, dass ich sie nicht umgehend über die Sicherheitslücke informiert habe. Glücklicherweise gibt es keinen Gesetzesartikel, der verlangt, dass Betreiber von EDV-Anlagen über Sicherheitslücken informiert werden *müssen*. Selbstverständlich bewege ich mich hier im Graubereich - aber mal ehrlich: Hätte ich die Lücken geheim behalten wollen, hätte ich diese nicht derart offensichtlich penetriert (unzählige Hits in den Server-Logs) und die Geschichte dahinter nachträglich nicht noch mit meinem realen Namen in meinem Blog veröffentlicht.
So, und jetzt gute Nacht!
Mario
August 20, 2007 um 10:02 Uhr nachmittags
Hätt er eus über d’lücke informiert statt eifach mol passwörter z’klaue wärs wohl nie zunere azeig cho.
Jepp, und Partyguide hätte so weitergemacht wie bisher. Ich behaupte, dass erst durch den Medienrummel ein profundes Umdenken in den Köpfen der Macher stattgefunden hat.
Partyguide hat seine Benutzer über keine der vier von mir aufgedeckten Sicherheitslücken informiert.
Bei Hack #3 war es ganz dreist - dort hiess es in den Mails an den Benutzer:
“Dein Passwort auf PartyGuide.ch wurde aus Sicherheitsgründen geändert”
Kein Wort davon, dass das Passwort in falsche Hände gelangt ist und es der betreffende Benutzer nie mehr verwenden sollte. Meines Wissen hat es Partyguide auch nicht verhindert, dass Benutzer ihr Passwort wieder auf alte Werte (123456, arschloch, etc.) zurückgesetzt haben.
Der Tag, an dem Partyguide seine Benutzer zum ersten Mal auf einen Hack hinweist, werde ich mit Champagner feiern. Wenn ein Programmierfehler passiert ist und Benutzerdaten abhanden kommen, steht man vor die Betroffenen hin und sagt ihnen ehrlich und direkt, was passiert ist.
Hier ein Beispiel, wie es professionelle Firmen machen:
http://blog.emeidi.com/2007/06/der-autoscout24-hack.html
Anstelle endlich jede einzelne von Jason geschriebene PHP-Zeile zu untersuchen, verbrät man Zeit, Geld und Nerven, um einen Blogger zu verklagen, der die Fahrlässigkeit von Partyguide gegenüber seinen Nutzern öffentlich gemacht hat.
So, und jetzt wirklich guet Nacht!
Mario
August 21, 2007 um 8:19 Uhr vormittags
Jep das seh ich ähnlich.
Man könnte wohl Zeit, Geld, Ressourcen sinnvoller einsetzen als einen Blogger zu verklagen und ihm das Leben zu erschweren (20′000CHF sind ja nicht gerade ohne).
Darüber hinaus bin ich auch sicher dass wenn Mario die Lücke(n) nicht entdeckt und öffentlich gemacht hätte, wäre(n) sie wohl jetzt noch vorhanden.
Mit einem Techblog wäre zumindest ein erster Schritt getan (auch was information der user angeht), bin sicher Oli wird das in die Wege leiten.
August 21, 2007 um 12:16 Uhr nachmittags
Ich muss mich hier nochmals in die Diskussion einklinken - es scheint ja langsam doch zu einem Dialog zu kommen (obwohl ich das ja schon seit 1,5 Jahren versuche):
Partyguide-Hack #1: Ich habe einen Partyguide-Mitarbeiter (Kürzel: FdL) zwei Tage…
Ich kann das weder Bestätigen noch Dementieren. Irgendwo her kam diese Information auf jeden Fall.
Partyguide-Hack #3: Ich habe denselben Partyguide-Member durch die Blume…
Eine solche Information ist auf jeden Fall nicht bei mir eingegangen. Der Hack wurde rein aufgrund unserer Beobachtungen bemerkt.
Partyguide-Hack #4, #5: Ich habe Partyguide nicht über die Lücke informiert…
Gut, da sind wir uns also einig.
Nein, natürlich gibt es kein Gesetz welches dich verpflichtet eine Lücke an den Betreiber zu melden. Jedoch war dir sehr wohl bewusst, dass das Ausnutzen der Lücke um an Passwörter zu gelangen sehr wohl strafrechtlich relevant sein kann. Die Tatsache dass du das ganze unter deinem Namen veröffentlichst, lässt vermuten, dass es dir auch um deine eigene Publicity geht.
Jepp, und Partyguide hätte so weitergemacht wie bisher. Ich behaupte, dass erst durch den Medienrummel ein profundes Umdenken in den Köpfen der Macher stattgefunden hat.
Das ist doch überhaupt nicht wahr. Aufgrund meiner Ausbildung bin ich sehr wohl mit Sicherheitskonzepten vertraut. Eine komplette Überarbeitung der betroffenen Bereich (Login / Autologin / Suche) hätte also sowieso stattgefunden. Klar wurden sie durch deine Entdeckungen vorgezogen. Vielleicht ist es dir aufgefallen dass es, bis auf Hack #5 (welcher ja eigentlich kein richtiger Hack ist), kein grösserer sicherheitsrelevanter Vorfall mehr seit mehr als einem Jahr stattgefunden hat.
Partyguide hat seine Benutzer über keine der vier von mir aufgedeckten Sicherheitslücken informiert.
Das ist soweit korrekt. Es betrifft jedoch die Informationspolitik, welche klar nicht in meinen Händen liegt.
Bei Hack #3 war es ganz dreist - dort hiess es in den Mails an den Benutzer
“Dein Passwort auf PartyGuide.ch wurde aus Sicherheitsgründen geändert”
Ich behaupte nicht, dass diese E-Mail perfekt war. Wir waren ziemlich unter Druck an diesem Tag. Grundsätzlich hat jede Sekunde gezählt um den Schaden einzudämmen. Da muss man einfach verstehen, dass nicht alles perfekt abgelaufen ist. Des weiteren gibt es meines Wissen auch kein Gesetzt welches verpflichtet den Benutzer über die Details eines solchen Vorfalls zu informieren.
Anstelle endlich jede einzelne von Jason geschriebene PHP-Zeile zu untersuchen, verbrät man Zeit, Geld und Nerven, um einen Blogger zu verklagen, der die Fahrlässigkeit von Partyguide gegenüber seinen Nutzern öffentlich gemacht hat.
Unrecht hast du da sicherlich nicht. Bedenkt man jedoch, dass sich (gemäss deinen Vorwürfen) bei uns ohne Presserummel nichts ändert, scheint sich bei dir ohne Anklage nichts zu ändern. Ich bin nach wie vor der Meinung, dass wir schon vor langer Zeit einen Dialog hätten führen können. Du hast wohl erst letzte Woche bemerkt dass hier schon jemand seit über einem Jahr (vielleicht nicht perfekt) deinen Forderungen nachgeht. Während dessen beschäftigst du dich lieber damit möglichst viele Anhänger zu mobilisieren um deinen Kampf gegen das unsichere PartyGuide (welches leider schon vor einiger Zeit verstorben ist) zu führen und dich als Held darstellen zu lassen.
August 21, 2007 um 8:49 Uhr nachmittags
Lieber Oli & Mitlesende
Ich kann das weder Bestätigen noch Dementieren. Irgendwo her kam diese Information auf jeden Fall.
Sie gelangte von mir via Chat zu eurem Ex-Mitarbeiter. Was danach genau passiert ist, kann ich nicht sagen. Wahrscheinlich ist aber, dass Jason am besagten Montag einen Telefonanruf des besagten Mitarbeiters erhielt. Als ich am selben Abend aus dem Fitnesstraining zurückkam, war die Lücke gestopft.
Jedoch war dir sehr wohl bewusst, dass das Ausnutzen der Lücke um an Passwörter zu gelangen sehr wohl strafrechtlich relevant sein kann.
Beim derzeitigen Stand unseres kleinen Händels dreht sich alles um StGB Art. 143bis. Einen anderen Artikel habe ich bisher nicht an den Kopf geworfen erhalten.
Die Tatsache dass du das ganze unter deinem Namen veröffentlichst, lässt vermuten, dass es dir auch um deine eigene Publicity geht.
“Publicity” richtig. Das Wort enthält “Public” engl. für Öffentlichkeit. Nur mit Druck von aussen bewegt sich Partyguide anscheinend. Ausserdem - und das habe ich auch schon mehrmals in meinen Blogs erwähnt - geht es darum, dass andere Betreiber nicht die unzähligen Fehler wiederholen, die ihr gemacht habt. Ich hoffe, dass Dritte lernfähiger sind als ihr. Ausserdem zeigen die Artikel minutiös auf, wie ein Aussenstehender ein System nach Schwachstellen absucht und wo die relevanten Angriffspunkte liegen. Mir geht es also nicht nur um die Information der Öffentlichkeit, sondern auch um die wissenschaftliche Aufarbeitung solcher Hacks. Oder wo hast du schon jemals derart offen und ausführlich über Angriffstaktiken gelesen? Heiland, es gibt Firmen, die machen solches Wissen bei Security-Tests zu barem Geld!
Aufgrund meiner Ausbildung bin ich sehr wohl mit Sicherheitskonzepten vertraut.
Ich hoffe wirklich, dass Partyguide mit dir endlich einen fähigen und sicherheitsbewussten PHP-Entwickler engagiert hat. Dein schmollender Vorgänger Jason war es jedenfalls nicht. Und leider stammt weiterhin ein Grossteil des Partyguide-Codes aus Jasons und nicht aus deiner Hand.
Klar wurden sie durch deine Entdeckungen vorgezogen.
Fahrlässig, einfach nur fahrlässig. Fährt Jason mit seinem Porsche und einem Platten auch noch 100 Kilometer und betet, dass nichts passiert?
kein grösserer sicherheitsrelevanter Vorfall mehr seit mehr als einem Jahr stattgefunden hat.
Ich jedenfalls habe in der Zwischenzeit nicht mehr nach Schwachstellen gesucht und deshalb auch nichts mehr gefunden. Wieso sollte ich dir aber hier glauben, wenn du weiter unten zugibst, dass ihr die Öffentlichkeit noch nie über solche Vorfälle informiert habt?!
Es betrifft jedoch die Informationspolitik, welche klar nicht in meinen Händen liegt.
Ich wünsche dir viel Standvermögen in dem Laden …
Des weiteren gibt es meines Wissen auch kein Gesetzt welches verpflichtet den Benutzer über die Details eines solchen Vorfalls zu informieren.
Ja doch! Aber ich verklage euch ja auch nicht deswegen …
Ich bin nach wie vor der Meinung, dass wir schon vor langer Zeit einen Dialog hätten führen können.
Einverstanden, denn: Mit dir kann man reden!
Aber leider nicht mit der Person, die derzeit (immer noch) am Ruder ist. Die Probleme von Partyguide lassen sich alle auf diese eine Person und ihr hemdsärmliges Verhalten zurückführen. Partyguide war vor 365 Tagen das Spiegelbild eben dieser Person.
Du hast wohl erst letzte Woche bemerkt dass hier schon jemand seit über einem Jahr (vielleicht nicht perfekt) deinen Forderungen nachgeht.
Wie gesagt, ich sehe nicht hinter die Kulissen, und ihr lasst nicht hinter die Kulissen blicken.
Schöne Abe!
Mario
August 21, 2007 um 11:19 Uhr nachmittags
Hallo Mario
Ich denke wir können diese Diskussion mal so belassen und einmal einen ersten kleinen Erfolg im DIALOG Emeidi - Partyguide verzeichnen. Ich werde mich in nächster Zeit vor allem mal um den längst versprochenen Blog kümmern und die Ereignisse natürlich weiter verfolgen. Es geht ja noch einige Monate bis es im Verfahren weiter geht und bis dann kann noch einiges geschehen.
Gruess
Oli
August 22, 2007 um 5:11 Uhr nachmittags
Muss sagen, endlich mal ein Dialog der auch spannend ist zu lesen, gute Sache von beiden Seiten!
Freue mich schon auf den PG-Blog.. Hoffe aber dass das ein Techblog und nicht ein Marketingblog wird