Infoleak und Sicherheitslücke auf A1.net: Autologin
Verfasst: Sa 22 Okt, 2011 01:41
Ich bin nur durch Zufall auf dieses "Feature" gestoßen. Autologin heißt, dass A1/TA Kunden mit einer A1 IP automatisch eingeloggt werden wenn sie a1.net besuchen. Auf der Seite findet sich eine Menge eigentlich privater Daten: Name, Adresse, Rechnungen, Telefonnummern und sogar ein Online Shop.
Jeder und "jedes" das "Zugang" zu der IP Adresse eines A1 Kunden hat, hat auch Zugang zu diesen Daten. Das heißt nicht nur public Wifi und Proxies die ja ohnehin aus verschiedenen anderen Gründen problematisch sind oder jeder "physische" Benutzer im lokalen Netzwerk (Kinder und Gäste...). Es bedeutet auch, dass jedes Programm oder Script das Zugang zum Internet hat, darauf zugreifen kann: Unbekannte Programme die man in einer sicher geglaubten Sandbox ausführt, Malware Testlabor usw. Es betrifft aber auch normal installierte Schadsoftware die "out of the box" nun schon Zugang zu diesen Daten hat ohne dass der User social engineered werden oder man lang keyboard loggen muss.
Richtig interessant und "gefährlich" wird es allerdings wenn man sich fragt ob man nicht auch über Web und Browserbasierte Sicherheitslücken wie XSS (massenhaft, automatisiert, remote und unbemerkt) Zugang erlangen kann.
Soweit ich weiß wird dieses Forum auch von TA/A1 Mitarbeitern gelesen. Kann mir jemand sagen warum dieses "Feature" opt-out ist? Kann mir jemand sagen wie ein Online Shop mit -nur einer IP Authentifizieren- überhaupt die relevanten Auflagen erfüllt? Und zu guter Letzt, wen kann ich kontaktieren damit diese Sicherheitslücke "gestopft" wird?
Jeder und "jedes" das "Zugang" zu der IP Adresse eines A1 Kunden hat, hat auch Zugang zu diesen Daten. Das heißt nicht nur public Wifi und Proxies die ja ohnehin aus verschiedenen anderen Gründen problematisch sind oder jeder "physische" Benutzer im lokalen Netzwerk (Kinder und Gäste...). Es bedeutet auch, dass jedes Programm oder Script das Zugang zum Internet hat, darauf zugreifen kann: Unbekannte Programme die man in einer sicher geglaubten Sandbox ausführt, Malware Testlabor usw. Es betrifft aber auch normal installierte Schadsoftware die "out of the box" nun schon Zugang zu diesen Daten hat ohne dass der User social engineered werden oder man lang keyboard loggen muss.
Richtig interessant und "gefährlich" wird es allerdings wenn man sich fragt ob man nicht auch über Web und Browserbasierte Sicherheitslücken wie XSS (massenhaft, automatisiert, remote und unbemerkt) Zugang erlangen kann.
Soweit ich weiß wird dieses Forum auch von TA/A1 Mitarbeitern gelesen. Kann mir jemand sagen warum dieses "Feature" opt-out ist? Kann mir jemand sagen wie ein Online Shop mit -nur einer IP Authentifizieren- überhaupt die relevanten Auflagen erfüllt? Und zu guter Letzt, wen kann ich kontaktieren damit diese Sicherheitslücke "gestopft" wird?