Datensicherheit bei simply connect

[CyberKing2k]

Jetzt kam die E-Mail

Sehr geehrter simplyConnect Kunde,

zunächst einmal bedanken wir uns für die Teilnahme an unserer Testphase im vergangenen Jahr.
Leider war zur Zeit der Testphase unser System noch nicht ausreichend geschützt, sodass es möglich war auf Zugangsdaten unserer Beta-Tester zuzugreifen, dies betrifft ebenfalls Zugangsdaten von Fremdanbietern.
Diese Sicherheitslücke wurde von uns zwar schnell erkannt und behoben, jedoch war uns nicht bewusst, dass Google diese Sicherheitslücke bereits aufgespürt hat.
Über gezielte Google Suchanfragen war es nun möglich die besagten Zugangsdaten einzusehen. Wir haben Google bereits aufgefordert diese Informationen unverzüglich aus Ihrem Cache zu entfernen.

Wir möchten Sie nun vor allem darum bitten all Ihre Passwörter, vor allem die Passwörter evtl eingetragener Fremdanbieter zu ändern um einen Missbrauch vorzubeugen.

Für diese Art Offenlegung vertraulicher Informationen bitten wir Sie vielmals um entschuldigen.
Wir wissen, dass ein derartiger Umgang mit diesen Informationen unentschuldbar ist.

Diese Sicherheitslücke trat "nur" in den ersten Wochen der Testphase auf. Seither wurde natürlich sicher gestellt, dass diese Informationen streng vertraulich behandelt werden und NICHT für Dritte einsehbar ist.


Mit freundlichen Grüßen

Technical Director
simplyConnect

 

[TinTin]

Die Vorgehensweise hätte wie folgt sein müssen:

1) sofortige Sperrung der betroffenen Accounts um Missbrauch vorzubeugen
2) Email an diese Kunden mit Neuaktivierungslink und dann verpflichtender Passwortänderung

Und die Vorgehensweise von Paulipaul hätte so aussehen können/sollen:

1) SC auffordern obiges innerhalb einer Woche zu tun
2) Nur wenn dies nicht geschieht erwägen es zu veröffentlichen, dann aber ohne genaue Beschreibung wie man das googled

Gruß,
Tin

 

[beckmann]

Ok, fragt sich nur warum ich keine Mail bekommen habe obwohl ich Betatester war und meine Zugangsdaten ebenfalls online sind! Ich werde dort zwar nur als "Testuser" aufgeführt aber meine Dus.net und Sipgate Daten liegen da trozdem rum.

Scheinbar gibt es wohl von einigen Testusern keine Daten mehr, oder warum erhalte ich keine Mail?

@Opilein:
Das mit den 40 unterschiedlichen Accounts von dir ist heftig. Nur bei mir kam es zu einer Nutzung der Daten durch dritte. Das ist nicht okay, Es waren bei Dus.net zwar damals nur 5 cent weil ich es bemerkt habe, aber es hätte schlimmer kommen können. Erst jetzt weis ich aber wo die Lücke war, daher bin ich verägert. Vor allem weil SC das schon wusste. Ich werde SC zwar noch weiter nutzen, aber die Daten von drittanbietern fliegen da raus!

 

[Rovin]

"Die hier ergoogelten Daten liegen allerdings noch im Cache bei Google und sind deshalb darstellbar gewesen, aber eben nicht mehr aktuell"

Was meint der Betreiber von "nicht mehr aktuell"? Wer ändert ohne Aufforderung regelmässig seine Passwörter? Ich bin froh, dass ich nicht betroffen wurde, weil wenn, wären meine Passwörter immer noch aktuell, weil ich es ja gar nicht gewußt hätte, dass es einen Sicherheitsleck gab. Das ist nämlich das, was die User hier mit Recht bemängeln: der Anbieter hätte sofort betroffene Kunden per Email informieren sollen. Wenn er jetzt sagt: na und - das ist schon 6 Monate her - das zählt einfach nicht, weil die Passwörter immer noch die selben sind.

 

[Rovin]

Nur ohne diesen Beitrag hätte ich das nie erfahren und auch meine Passwörter nicht geändert!

Das ist es. Die Passwörter waren immer noch aktuell. Eine Email mit Warnung und Aufforderung zur Passwortänderung vom Provider hätte ausgereicht.

 

[RudatNet]

Ja, und genau das ist es auch, was einige hier nicht verstehen!

Wenn da jetzt auch noch eines meiner Standard-Passwörter bei gewesen wäre,
dann hätte ich wesentlich mehr zu tun gehabt, als nur die 5 Accounts zu ändern!

 

[simply-connect.de]

Kunden die keine Mail bekommen haben, haben wohl auch Ihre Mailadresse nciht angegeben. Nicht alle Beta-Tester haben Ihre Mailadresse eingetragen.

Die betroffenen Seiten wurden nun auch durch Google entfernt.

Respekt an den Verfasser dieses Threads, diese Zugangsdaten für Hunderte von Usern offen zu legen, sehr mutig....

 

[der_Gersthofer]

@simply-connect.de

Den letzten Satz hättet ihr euch m.E. sparen können. Die Zugangsdaten lagen deswegen offen - und das schon seit 6 Monaten - weil ihr nicht weitsichtig genug schon damals reagiert habt. Der Verfasser dieses Threads hat euch sogar zuvor angeschrieben und ihr habt ihn mit dem lapidaren Hinweis, das sei schon vor 6 Monaten abgestellt worden, "vertröstet".

Jeder der damals dieses Problem mitbekommen hat, hätte somit seit 6 Monaten die fremden Zugangsdaten nutzen können und kann sie auch weiterhin nutzen. Wenn hier nicht noch einmal ausdrücklich auf dieses Problem hingewiesen worden wärt, hätten das viele gar nicht mitbekommen - denn die wirklichen Ausnutzer dieses eures Fehlers wären wohl kaum so nett gewesen, euch darüber zu informieren und nach eurer nichtssagenden Antwort andere User hier wohlmeinend zu warnen. Die, die schlechtes im Sinn haben, hätten einfach weiterhin die offen liegenden Zugangsdaten verwendet (was sie ja auch jetzt noch tun können!) und der Kunde hätte dann beweisen müssen, dass die Telefonate wegen eines Fehlers auf eurer Seite gar nicht von ihm geführt wurden.

Von daher finde ich es alles andere als OK, einen Fehler und ein Versäumnis auf eurer Seite nun anderen anzulasten.

Warum sperrt ihr nicht die betroffenen Accounts temporär? Jeder, der die Liste hat (egal ob gleich vor 6 Monaten eingeshen oder danach per Google Cache - und der war immerhin 6 Monate frei im Internet verfügbar), kann die Zugangsdaten auch weiterhin nutzen, sofern sie nicht jetzt geändert werden / wurden. Was ist mit den Usern, die keine Emailadresse angegeben haben? Was ist mit denen, bei denen eure Email im SPAM-Folder landet?

Daher:

1) sofortige Sperrung der betroffenen Accounts um Missbrauch vorzubeugen
2) Email an diese Kunden mit Neuaktivierungslink und dann verpflichtender Passwortänderung

 

[RudatNet]

Respekt an den Verfasser dieses Threads, diese Zugangsdaten für Hunderte von Usern offen zu legen, sehr mutig....

Sorry, aber das hättet ihr euch nun wirklich sparen können!

Respekt!
Sensible Daten 6 Monate einfach wissentlich offen im Netz zu lassen,
ohne die Kunden zu warnen bzw. selber die Accounts sicherheitshalber zu sperren!

 

[der_Gersthofer]

Eigentlich solltet ihr euch bei dem Threadersteller bedanken und ihm eher etwas als Dankeschön zukommen lassen! Ein weniger freundlicher Zeitgenosse hätte

a) euch gar nicht vorab informiert
b) diese Info irgendwo in einem Cracker/Warez - Board oder dergleichen gepostet, a la: telefonieren auf fremde Kosten und dazu noch Adressdatenbank für lau.

Ich würde mir nach dieser Reaktion nämlich echt überlegen, euch zu informieren, wenn man als Dank dafür nachher auch noch angegriffen wird.

 

[simply-connect.de]

Es wurde ja nicht mal Zeit eingeräumt die Sache zu klären. Als die Mail des Verfassers bei uns eintraf wussten wir nichts von dem Google Cache. Die Sache gleich nach einem Tag im Forum öffentlich zu machen, ohne Einräumung zur Bearbeitung dieser Sicherheitslücke ist wirklich nicht die Art wie man vorgeht.
In der von uns versandten Mail wurde aufgeführt, dass diese Sicherheitslücke sofort beseitigt wurde, wir jedoch, wie bereits erwähnt, nicht ahnten, dass diese Seiten bereits ergooglet wurden.
Alle User (10 Betroffene) wurden darüber informiert.

Für die Information über die Sicherheitslücke haben wir uns bereits per Mail bedankt und hatten weitere Maßnahmen zur Beseitigung der Google Einträge eingeleitet.
Fair wäre gewesen uns vorzuwarnen das zu veröffentlichen oder wie schon gepostet erst nach einer Frist zu posten.
Das hier angewandte Verhalten, die Sache ohne Ankündigung zu veröffentlichen, bedarf unserer Meinung nach keinerlei Danksagung.

Persönliche Anmerkung:
Ich hatte selbst eine enorme Sicherheitslücke eines anderen Provider aufgespürt.
Der Support wurde informiert, nach kurzer Zeit wurde die Lücke geschlossen nachdem Sie nehme ich an länger als ein halbes Jahr existierte.
Natürlich bekommt man für den Hinweis ein Dankeschön. Auch nur deshalb weil Schaden vermieden wurde.
Die Sache zu veröffentlichen hätte nicht nur vielen Usern geschadet, da sehr viel mehr Personen zugriff auf die Daten erlangt hätten (Dank ausführlicher Beschreibung wie man auf die Daten zugreift), sondern auch die Firma ruiniert.
Deshalb kann ich das Vorgehen so nicht akzeptieren.

 

[RudatNet]

Gut, dass es unterschiedliche Ansichten gibt:

Ihr habt zwar eure Sicherheitslücke geschlossen - woher wusstet ihr das eigentlich -, aber habt es nicht für nötig empfunden, irgendwelche Sicherheitsmaßnahmen für euer Beta-Tester zu ergreifen, sondern nur für euch selber!

Diesen Umgang mit sensiblen Daten kann ich nun mal leider auch nicht akzeptieren.

 

[simply-connect.de]

Ich weiss nicht wieso man noch auf Fehlern herumhackt die wir offen eingesehen haben (siehe Stellungnahme). Wir haben selbst eingeräumt, dass diese Art Behandlung mit ensiblen Daten nicht akzeptabel ist. Wir aber seither erhöhte Maßnahmen ergriffen haben damit dies nicht mehr vorkommt.
Durch eine Überprüfung unseres Systems ist uns damals aufgefallen, dass die Konfigrationsdaten nicht Passwortgeschützt waren. Die Seite jedoch nirgends verlinkt war und unsere Logfiles keinerlei Fremdzugriffe auf die Seite zeigten. Daher hielten wir es nicht für notwendig die Tester darauf hinzuweisen.
Aus den Fehlern haben wir allerdings gelernt

 

[haeberlein]

Nicht aufregen Simply-Connect. Hier gibt es User ,die reiten auf allen und jeden herum. Nur wenn man Ihnen mal die Meinung sagt bekommt man Verwarnungen bzw. rote und gelbe Punkte. Habe es selbst schon erlebt. Die User die ich meine werden es schon selber wissen und sich bestimmt gleich wieder zu Wort melden. Das beste ist einfach nicht mehr darauf zu reagieren.

Ich war Testuser der ersten Stunde und bei mir ist weder ein Passwort abhanden gekommen ,noch hat jemand fremdes auf meine Kosten telefoniert.

Wenn man eine Lücke nicht kennt-dann kann man Sie auch nicht schliessen. Siehe Microsoft und Co.

 

[Advocatus diabo]

Ich weiss nicht wieso man noch auf Fehlern herumhackt die wir offen eingesehen haben ...

Weil Du hier auf dem Sipgateschulhof bist.

 

[RudatNet]

Weil Du hier auf dem Sipgateschulhof bist.

Und wieder so ein Schlauer, der sich für solche unpassenden Bemerkungen extra einen eigenen Nick zugelegt hat!

Zu feige?

 

[Advocatus diabo]

Und wieder so ein Schlauer...

Dito. Ich lese seit einem 1/4 Jahr hier mit. Genau so alt ist auch mein Nick. Also nix feige. Nur Schleimfrei.

 

[Christoph]

Denke, der Fall ist nun durch und stimme simply-connect bei, dass es nun nichts mehr zu kritisieren gibt.

Damit geschlossen.