Datensicherheit bei simply connect

[paulipaul]

Hallo

Ich hatte diese Woche ein Anruf auf meinem AB, der jenige welche teilte mir mit das sip Daten von mir im Netz sichtbar sind. Nach einigem gegoogle habe ich sie auch gefunden.
es steht alles drin incl. Passwörter im Langtext.
Sie stammen alle von der alten Homepage von Simply Connect
rmw-webdesign.de/asterisk.rm-srv.net/phpconfig/phpconfig.php?file=sip.conf&section=Header
gegooglet habe ich nach z.B 496423607350
Ich war damals auch einer der Tester von simply connect.
Ich habe jetzt alle meine Sip Kennwörter geändert, ich war schon sehr geschockt das das alles im Internet sichtbar ist, ohne diesen Anruf hätte ich sonst nie etwas davon erfahren. Wie gut das noch nichts passiert ist. Ich denke es geht noch mehreren so, waren ja einige Testuser von hier dabei.

Stellungnahme von simply connect habe ich auch schon seht her:

vielen Dank für Ihren hinweis, die entsprechende Sicherheitslücke wurde vor geraumer Zeit geschlossen. Jedoch scheint diese Seite noch im Cache von Google zu liegen.

ich habe nochmal ein bisschen weiter gesucht, betroffen sind, so wie es scheint die Registriernummern von 350 bis 387, man sieht alles Zugangspasswörter, die sip Passwörter und einige mail Adressen auch.

Ich denke ihr wisst was ihr zu tun habt.

Gruß paulipaul

 

[betateilchen]

Ich denke ihr wisst was ihr zu tun habt.

Hat mal jemand GPS Daten von SC greifbar ? Um die Cruise Missile zu programmieren :mrgreen:

 

[markbeu]

Hat mal jemand GPS Daten von SC greifbar ? Um die Cruise Missile zu programmieren :mrgreen:

Wirklich ausserordentlich witzig :-(

 

[Gast]

Finde das auch nicht richtig,das hier alles so offen dargelegt wird!
Man kann ja bei solchen Geschichten den Anbieter intern auf Bugs hinweisen,dann kann daraus kein Schaden entstehen,so müssen viele User alle ihre Passwörter ändern!
Gruß von Tom

 

[RudatNet]

...,so müssen viele User alle ihre Passwörter ändern!
Gruß von Tom

Ja korrekt!

Nur ohne diesen Beitrag hätte ich das nie erfahren und auch meine Passwörter nicht geändert!

Um es mal gelinde zu sagen: Bin ziemlich enttäuscht!

Da kann ich ja noch richtig froh sein, dass ich keines meiner Standard-Passwörter dort benutzt habe, sonst dürfte ich jetzt noch mehr als diese Accounts ändern!

 

[markbeu]

mal zur Klarstellung:

Zitat Chat mit dem Cheffe von Simply-Connect:

"Der hier dargelegte Fehler trat vor einem halben Jahr (!) auf!
Bereits damals wurden alle Sicherheitslecks geschlossen und somit besteht aktuell keine Gefahr! Die hier ergoogelten Daten liegen allerdings noch im Cache bei Google und sind deshalb darstellbar gewesen, aber eben nicht mehr aktuell" /Zitat Ende

Ich bin menschlich sehr enttaeuscht von einigen hier teilnehmenden usern, die scheinbar mit einer inneren Genugtuung sich an dem Elend der VoIP-Provider laben und jede noch so kleine Verfehlung in das Licht der Oeffentlichkeit ziehen, anstatt froh zu sein, dass es nun endlich Alternativen zu den Wucherpreisen der T-Com und anderer Betreiber gibt!
Nur Wettbewerb schafft reelle Preise und nicht Anschwaerzen!!!
Aber scheinbar sind es immer wieder dieselben user; zumal genau dieselbe Geschichte seinerzeit mit Dus.net und auch Sipsnip abgezogen wurde!
Geht in Euch und denkt nochmal genau darueber nach, ob solch niedertraechtiges Verhalten wirklich noetig war!

 

[Christoph]

Der Autor dieses Threads hat mich vorab gefragt, ob ich den Vorgang kenne und er das hier posten kann. Ich kannte den Vorgang nicht (bin aber auch kein SC-Kunde; wir haben lediglich einen Testzugang wegen des VSP-o-Meters) und fand den Fall durchaus berichtenswert. Und wie sich ja auch anhand Rudas Antwort schon rausstellte, war das so falsch nicht.

Es hat hier nichts mit "Anschwärzerei" zu tun, sondern um Kundenschutz! Auch wenn der Fall schon "ein halbes Jahr" her ist, so gibt es eben genug Machanismen - wie eben google - die ein gutes Erinnerungsvermögen haben. Es kann nicht sein, dass Versäumnisse des Anbieters hier als "Anschwärzerei" abgetan werden! Der Anbieter muss seine Kunden über sowas informieren, damit diese entsprechend handeln können. Hier also ihre Passwörter ändern.

Fehler/ Lücken usw. können überall mal entstehen, das ist dann zwar unschön, aber wird dadurch nicht besser, wenn es verschwiegen und später die "Schuld" auf irgendwelche Caches geschoben wird. Ein Cache liefert auch nur das nach, was er mal finden konnte.

So, wenn der Anbieter das nicht selbst zu leisten vermag, kann eben auch mal ein Forum einspringen - und sei es nach einem halben Jahr, wenn die Problematik immer noch aktuell ist.

 

[RudatNet]

Wie kann man enttäuscht sein, wenn solche "Pannen" aufgedeckt werden?

Jeder hätte sich hier munter 3 meiner aktuellen Accounts bedienen können!
Und wenn ich dran denke, wie lange die schon offen lagen ...
Seltsam, dass ich da nichts von wusste!?

Finde ich gar nicht witzig!

(Ich erspare mir diesmal passende Smileys!)

 

[markbeu]

Man muss das aber nicht zwingend breittreten und dadurch Trittbrettfahrer aktivieren, sondern kann es dem VoIP-provider direkt melden und ihm angemessene Zeit zum Reagieren einraeumen!

...DAAAAANNN kann das immer noch oeffentlich gemacht werden!

 

[RudatNet]

"Angemessene Zeit"?

Ich finde "ein halbes Jahr" da schon wesentlich mehr als "angemessen"!
Bei so einer Sache hat man ja wohl wesentlich schneller zu reagieren!

Man hätte ja zumindest die Betroffenen mal informieren können, sich entschuldigen können, und auf die Zugangsdatensache eindringlich aufmerksam machen müssen!

Irgendwie vertehe ich dich leider nicht!

 

[markbeu]

Irgendwie vertehe ich dich leider nicht!

macht ja nix, geht mir oefter so ;-)

 

[Gast]

Mark meint damit,wenn sowas nicht breitgetreten wird,kann erst gar keiner Schundluder mit den Daten treiben,da es nämlich niemand wußte!
Was ist denn mit den Usern,die hier nicht regelmäßig mitlesen,deren Daten jetzt völlig offen liegen und davon noch gar nichts wissen?
Das sind nämlich jetzt die Leidtragenden,so muß man diese Angelegenheit auch mal betrachten!
Gruß von Tom

 

[Christoph]

Der Autor berichtet doch oben auch von Mailverkehr mit SimplyConnect und deren Antwort!

Diese hatte einen abschließenden Charakter, aus dem ich auch ableite, dass man sich über keiner weiteren Schritte Gedanken macht bzw. wurde auch nicht gesagt, dass zu irgendeinem Zeitpunkt alle Kunden darüber infomiert und zur Änderung des Passwortes aufgefordert wurden.

Genau das ist aber, was hier fehlt und warum es diesen Thread gibt!

 

[RudatNet]

macht ja nix, geht mir oefter so ;-)

Na dann bin ich ja beruhigt, dass du dich auch öfter nicht verstehst!

Mark meint damit,wenn sowas nicht breitgetreten wird,kann erst gar keiner Schundluder mit den Daten treiben,da es nämlich niemand wußte!

Ziemlich einfälltig von dir, oder meinst du nicht?
Denk doch mal nach bevor du so eine lapidare Aussage machst!

Nochmal edit:
Christoph hat es ja gesagt, worum es hier geht!
Und ich habe es hoffentlich auch klar machen können!?

 

[Gast]

Ich habe darüber sehr genau nachgedacht und denke nämlich nicht egoistisch,sondern an alle Betroffenen!
Wenn man sich das mal genauer ansieht,wird man feststellen,daß dies wirklich eine ältere Sache ist,die natürlich vom Betreiber unterschätzt wurde,aber eben keinem weiter bekannt war,selbst Dir nicht!
Und? Hat vorher denn irgendjemand Schindluder mit Deinen Accounts getrieben?
Ich nehme das nicht an,konnte auch nicht,da es keiner wußte!
Jetzt wissen es alle und jeder kann sich bedienen,zumindestens bei denen,die es bisher noch nicht geschafft hatten,alles zu verändern!
Ich weiß,daß die Reaktion des Betreibers etwas unglücklich war,aber deshalb sollte man trotzdem die Kirche im Dorf lassen!
Gruß von Tom

 

[beckmann]

Jetzt haben sich plötzlich 2 Sachen ergeben, wo ich nicht wusste wo diese her kamen. Kurz nach der Dus.net Panne meldeten sich ungewöhlicherweise fremde IPs bei meinem Dus.net Account an. Dank letzter IP Anzeige bei Dus.net ist mir das aufgefallen - Fazit Schuld auf Dus.net geschoben und Password und Benutzername gewechselt.

Heute stelle ich fest liegen die Daten da offen rum. Das selbe mit meinem Sipgate Account. Der Support ist informiert aber nach 20 Uhr ist es schlecht jemanden zu erreichen. Dort wurde auch schon öfter drüber telefoniert zwar nur zu 0800 aber immerhin.Da ich dort mein Passwort selber nicht wechseln konnte und auch sonst keinder das Kennwort erraten kann dachte ich, es sei ein Fehler...

@RudatNet: Sorry für die PM, als ich das hier gelesen hatte, hattest du noch nicht geschrieben...

 

[Christoph]

Opi, das ist doch nun wirklich nicht der richtige Ansatz.

Wenn sowas bei der Telekom vorkommen würde, ständ es morgen in wer weiß wie vielen Zeitungen, wäre wahrscheinlich noch in der Tagesschau und ähnlichen Sendungen.

Nun ist SC nicht die Telekom, deswegen steht es auch nur hier. Aber hier ist es schon wohl richtig aufgehoben, wenn auch nur oder gerade weil sich zumindest schon mal einer gefunden hat, für den das wichtig ist. Und Ruda weiß nun wirklich Bescheid im VoIP-Bereich...

 

[RudatNet]

Ich habe darüber sehr genau nachgedacht und denke nämlich nicht egoistisch,sondern an alle Betroffenen!

Das sehe ich leider anders, aber das ist im Endeffekt eh egal.

Wenn man sich das mal genauer ansieht,wird man feststellen,daß dies wirklich eine ältere Sache ist,die natürlich vom Betreiber unterschätzt wurde,aber eben keinem weiter bekannt war,selbst Dir nicht!

Kannst du mir versichern, dass das sonst niemand wusste?
Dir ist schon bewußt, dass es Leute gibt, die gezielt im Netz nach sowas suchen!?
Diese Leute hängen sowas dann natürlich nicht an die große Glocke, sondern verdienen Geld damit!
Der Schaden hätte ja irgendwann mal kommen können!

Und? Hat vorher denn irgendjemand Schindluder mit Deinen Accounts getrieben?
Ich nehme das nicht an,konnte auch nicht,da es keiner wußte!

Schon wieder diese Behauptung!
Kannst du mir das den jetzt versichern?

Jetzt wissen es alle und jeder kann sich bedienen,zumindestens bei denen,die es bisher noch nicht geschafft hatten,alles zu verändern!

Keine Frage!

Ich weiß,daß die Reaktion des Betreibers etwas unglücklich war,aber deshalb sollte man trotzdem die Kirche im Dorf lassen!

"Die Kirche im Dorf lassen"?
Jetzt bin ich echt sprachlos ... !

 

[WrMulf]

Ja korrekt!

Nur ohne diesen Beitrag hätte ich das nie erfahren und auch meine Passwörter nicht geändert!

Um es mal gelinde zu sagen: Bin ziemlich enttäuscht!

Saftladen! Ich habe soeben die Löschung meines Accounts gefordert, online scheint das nicht vorgesehen zu sein. Wer ist der nächste? Purtel? Sipsnip? i-p-tel? *schauder*

 

[RudatNet]

Ich habe gerade alle meine Fremd-Accounts dort gelöscht!

Solange zumindest die Passwörter - wie übrigens damals versichert - nicht verschlüsselt gespeichert werden, kann man den SC-Account ja nicht mehr gefahrlos nutzen!