Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Troy Hunt ist ein australischer Internet-Sicherheitsexperte. bild: wikipedia / Troy Hunt

Dieser Internet-Experte verrät die schlimmsten Sicherheits-Fails im Netz



Troy Hunt ist einer der renommiertesten Online-Sicherheits-Experten. Bekanntheit erlangte er durch seine Webseite Have I Been Pwned?. Besucher können dort ihre E-Mail-Adresse eingeben und innert Sekunden herausfinden, ob eines ihrer Online-Konten in die Hände von Hackern gefallen ist. Dank der Webseite habe ich zum Beispiel bemerkt, dass mein Dropbox-Passwort vermutlich in die Hände der Dropbox-Hacker gelangt ist.

Auf seinem Blog gibt Hunt ein paar Müsterchen zum Besten, welch haarsträubende Sicherheits-Fails sich Anbieter von Online-Diensten leisten. Einige der Vorfälle sind aktuell, andere liegen schon Jahre zurück. Aber kommen wir ohne weitere Umschweife zu Fail Nr. 1.

Sicherheits-Fragen aus der Hölle

Bild

Die vermutlich dümmste Sicherheits-Frage ever: «Wie heisst die Hauptstadt von Kalifornien?» (Zudem ist Capitol vermutlich ein Tippfehler, gemeint ist wohl Capital. Untauglich ist die Frage so oder so.)

Sicherheits-Fragen wie «Was ist deine Lieblingsfarbe?» sind ein beliebtes, aber auch absolut untaugliches Mittel, um sich an das Passwort erinnern zu lassen oder gar ein neues Passwort anzufordern.

Der Name deines ersten Haustieres oder die Marke des ersten Autos lässt sich von jedermann einfach erraten.

Die schlimmste Sicherheits-Frage ist aber definitiv die Frage aus dem oben stehenden Screenshot: «Wie heisst die Hauptstadt von Kalifornien?» Die Betreiber solcher Webseiten hoffen vermutlich, dass sich die Hacker totlachen.

Passwort zurücksetzen für Dummies

Das britische Unternehmen Betfair ist laut Wikipedia «Betreiber der weltweit grössten Online-Wettbörse für Sportwetten». Wir dürfen also davon ausgehen, dass Betfair ziemlich viele Nutzer hat, die um ziemlich viel Geld wetten.

Kaum zu fassen, aber auf der Online-Wettbörse liess sich das Passwort eines beliebigen Nutzers zurücksetzen, wenn man lediglich dessen E-Mail-Adresse und Geburtsdatum kannte. Für Betrüger war es ein Kinderspiel diese beiden Daten herauszufinden und danach ein neues Passwort zu erstellen.

abspielen

IT-Sicherheits-Experte Hunt hat ein Video erstellt, das den Sicherheits-GAU bei Betfair vor Augen führt. Video: YouTube/Troy Hunt

Das wirklich Üble daran: Betfair war sich der Sicherheitslücke voll und ganz bewusst, wie der folgende Tweet zeigt. Ein Sicherheitsexperte fragte 2015 nach, ob man das Passwort tatsächlich nur mit Benutzernamen (E-Mail-Adresse) und Geburtsdatum ändern könne.

Die Antwort lässt uns an der Menschheit zweifeln: Betfair gab das Problem zu, argumentierte aber allen Ernstes, dass man gegen die Nutzungsbedingungen verstosse, wenn man seine E-Mail-Adresse, die als Benutzername dient, an Dritte weitergebe. 

Ernsthaft, für was soll eine E-Mail-Adresse gut sein, wenn man sie nicht an andere weitergeben darf? 

Das dümmste Passwort-System ever

Sich Passwörter zu merken ist so schwierig. Gäbe es doch etwas einfacheres. 

Ungefähr dies müssen sich die Betreiber der folgenden Webseite gedacht haben. Ihre Nutzer konnten sich bis vor Kurzem mit der Handy-Nummer als Benutzername anmelden. Und das Passwort waren die vier letzten Ziffern der Handy-Nummer 🤦

Das Passwort-System ist bombensicher. Ein Hacker müsste zuerst in den Besitz der Handy-Nummer gelangen, die man bekanntlich nie an andere Personen weitergibt, da ... Moment.

Der Online-Shop des Grauens

Strawberrynet ist ein grosser Online-Shop für Kosmetik-Artikel, der vor allem in Australien, Hongkong und Brasilien beliebt ist. Im August 2016 kündigte man Änderungen beim Login-Verfahren an. In der Zwischenzeit könne man den Express Checkout nutzen und so schnell und bequem ohne Passwort bestellen.

Beim Express Checkout muss der Kunde lediglich seine beim Online-Shop registrierte E-Mail-Adresse sowie eine Lieferadresse angeben und der Kauf wird ohne Passworteingabe ausgelöst. 

Warum die Kunden mit Passwörtern beim Shopping belästigen?

Bild

Einfach E-Mail-Adresse eingeben, auf den Checkout-Button klicken und fertig!  bild: troy hunt

Der Express Checkout öffnete Missbrauch Tür und Tor. Gab man etwa die E-Mail-Adresse einer Bekannten ein, die bei Strawberrynet Kundin ist, erhielt man Zugriff auf persönliche Daten wie Name, Adresse und Telefonnummer.

Bild

Wer die E-Mail-Adresse eines Kunden kannte oder einfach erraten hat, erhielt sofort Zugriff auf die hinterlegten Nutzerdaten. bild: troy hunt

Beim Online-Shop für Schönheits-Produkte konnte man über Monate einen (weiblichen) Namen und einen populären E-Mail-Anbieter angeben und man war drin!

Das wirklich, wirklich Schlimme daran: Der unsichere Express Checkout wurde vom Kosmetik-Shop nicht als Sicherheitslücke betrachtet, sondern als Feature. Als Sicherheitsexperte Hunt den Online-Shop auf das Missbrauchs-Risiko aufmerksam machte, erhielt er folgende Antwort: 

«Please be advised that in surveys we have completed, a huge majority of customers like our system with no password. Using your e-mail address as your password is sufficient security.»

Strawberrynet

Den Express Checkout gibt's bei Strawberrynet auch heute noch. Allerdings erhält man nicht mehr Zugriff auf die persönlichen Nutzerdaten von Fremden, wenn man deren E-Mail-Adressen eingibt.

Passwörter verschlüsseln? Brauchen wir nicht!

Webseiten können sich bekanntlich an ihre Besucher erinnern. Man surft beispielsweise auf Amazon oder Zalando und der Online-Shop weiss, wer man ist. Die Erinnerung an uns wird in einem Cookie, einer kleinen Datei auf dem PC oder Handy, gespeichert. Natürlich ist es praktisch, wenn man beim nächsten Besuch immer noch angemeldet ist, sprich das Passwort nicht immer wieder eintippen muss. Dumm nur, wenn die Webseite das Passwort unverschlüsselt in einem Cookie speichert, wie in diesem Beispiel.

Die Webseite von Aussie Farmers, ein australischer Online-Shop für Bioprodukte, speichert den Benutzernamen und das Passwort im Klartext im Cookie.

Bild

Um's noch etwas schlimmer zu machen, wird das Passwort bei jedem Aufrufen der Webseite unverschlüsselt im Internet übertragen. Vergisst man sein Passwort, ist Aussie Farmers so nett und schickt einem das Passwort in einer unverschlüsselten E-Mail zu.

Sicherheitsexperte Hunt machte den Bio-Shop bereits 2013 auf die multiplen Sicherheitslücken aufmerksam. Als Antwort erhielt er das folgende Statement:

«To date we've not had a single security issue stemming from new customers being emailed their password, and I know for a fact 90% of the sites I personally sign up to online also follow that same process.»

Bio-Shop Aussie Farmers

Na dann ist ja alles gut. Nicht.

Passwörter per E-Mail zusenden

E-Mails werden auch heute noch in vielen Fällen unverschlüsselt übermittelt. Sensible Daten wie Passwörter sollten daher nie per E-Mail verschickt werden. Das hat sich bei einigen Firmen noch nicht herumgesprochen. Die britische Supermarktkette Tesco zum Beispiel schickte Kunden das vergessen gegangene Passwort jahrelang per E-Mail zu.

Bild

Sicherheitsexperte Hunt hatte es bereits 2012 ausprobiert und sich von Tesco ein Passwort-Erinnerungsmail zusenden lassen. Et voilà, Tesco schickte das Passwort im Klartext per E-Mail zu.

Bild

Tesco mailte Kunden, die ihr Kennwort vergessen hatten, das bisherige Passwort im Klartext zu.

Tesco ist kein kleiner Bio-Online-Shop, sondern ein Milliarden-Konzern. Man müsste vermuten, sie hätten die Ressourcen, um sich über Online-Sicherheit zu informieren. Doch weit gefehlt. 

Bild

Als der Sicherheitsexperte Tesco auf das Problem aufmerksam machte, antwortete die Firma mit folgendem Tweet.

Bild

Über den Tweet könnte man lachen, aber eigentlich ist es eher zum Verzweifeln. Wenn selbst Grosskonzerne dilettantisch mit unseren Nutzerdaten umgehen, wollen wir nicht wissen, wie arglos kleinere Firmen zum Thema Internet-Sicherheit stehen.

Dass eine Firma dem Kunden das derzeitige Passwort unverschlüsselt per E-Mail zusendet, ist höchst fahrlässig: «Ein Angreifer, der auch Zugriff auf die Mailbox des Opfers hat, kann so das Passwort nutzen, ohne dass der legitime Nutzer etwas davon mitkriegt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli.

«Man fragt sich bei solchen Vorfällen auch immer: Wird das Klartext-Passwort nach Versand etwa auch im Klartext gespeichert? Je nach Implementation kann es zwar sein, dass das neue Passwort generiert, verschickt und dann gehasht/gesaltet in der Datenbank gespeichert wird, während die Klartextvariante verworfen wird. Die Variante, dass unverschlüsselte Passwörter gespeichert werden (was heute meines Erachtens grob fahrlässig ist), gibt es aber immer noch in freier Wildbahn.»

Stefan Friedli, Scip AG

Dass unverschlüsselte Passwörter grob fahrlässig sind, haben wir in den letzten Jahren immer wieder erlebt: Wird eine Firma gehackt, kann schlimmeres verhindert werden, wenn die Passwörter verschlüsselt gespeichert sind. Hacker brauchen so Wochen, Monate oder länger, um die Passwörter zu entschlüsseln. Firmen wie Sony, LinkedIn, Yahoo, Dropbox etc., die in den letzten Jahren alle gehackt wurden, hatten so Zeit, ihre Kunden zu warnen.

Tesco übrigens wurde 2014 Opfer eines Hackerangriffs, bei dem Tausende Kundendaten geklaut wurden.

Wer denkt, sowas passiert nur im Ausland, ist schief gewickelt!

Zuletzt ein Beispiel aus der Schweiz, das mir erst gestern aufgefallen ist: Microspot verkauft Unterhaltungs- und Heimelektronik und ist einer der grössten Online-Shops der Schweiz. Siehe da, der zu Coop gehörende Online-Shop verschickt ein neues Passwort, wenn man das alte vergessen hat, im Klartext per E-Mail zu. Das sieht dann so aus:

Bild

Microspot sendet ein neues Passwort im Klartext per E-Mail zu. Dass man dieses Kennwort sofort durch ein eigenes ersetzen sollte, erwähnt die E-Mail nicht. screenshot: watson

Im Unterschied zu Tesco sendet der Schweizer Online-Shop nicht das bisherige Passwort per E-Mail zu, sondern ein neues. Etwas besser, aber sicher ist das ebenfalls nicht. IT-Sicherheitsexperte Friedli sagt:

«Optimal ist der Prozess so sicher nicht: Das Passwort wird im Klartext per Mail verschickt und der Benutzer muss, will er die Sicherheit des Accounts einigermassen wiederherstellen, proaktiv das Passwort erneut wechseln.»

Stefan Friedli

Weit besser wäre es, würde der Online-Shop einen zeitlich begrenzten Link verschicken, über den man ein neues Passwort festlegen kann. «Optimalerweise informiert eine Webseite oder App den Benutzer zusätzlich auf allen verfügbaren Kanälen darüber, dass der Passwort-Reset ausgelöst wurde, so dass dieser im Falle einer missbräuchlichen Nutzung entsprechende Gegenmassnahmen ergreifen kann», sagt Friedli.

Apropos Hacker: Ein Profi-Hacker erzählt von seiner Arbeit

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

«Ihr habt nicht begriffen, wie das Internet funktioniert!» – ein Student zeigt, wie leicht wir im Netz überwacht werden

Link zum Artikel

«Wenn ich eine andere Identität vortäusche, kann ich in das Leben einer Person eindringen»

Link zum Artikel

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Link zum Artikel

Was passiert, wenn Autos gehackt werden? Hacker zielen auf neuartige Sicherheitslücken

Link zum Artikel

Das sind die 10 gefährlichsten Programme, die du auf deinem Windows-PC oder Mac haben kannst

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

10
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
10Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Daniel Caduff 12.06.2017 15:04
    Highlight Highlight Auch Starticket (Tamedia) versendet Passwörter im Klartext per Mail. Immerhin: Man wird darauf hingewiesen, dass man das Passwort ändern kann. - Man muss aber nicht.
    Benutzer Bild
  • iSoldier 12.06.2017 10:02
    Highlight Highlight Unsere Firma nutzt den Service IncaMail der Post zum versenden der Lohnabrechnung.

    Man öffnet also die per Email erhaltene Datei und bekommt dann das Passwort zur verschlüsselten Datei auf dieselbe Emailadresse zugesandt!

    Das soll dann sicher sein?
  • Tavares 11.06.2017 16:44
    Highlight Highlight Leider sind Klartext Passwörter noch viel zu oft der Fall. Ich kenne mindestens zwei Firmen, welche die Passwörter der Mitarbeiter in einer Excel-Datei speichern...
    Darum für jeden Dienst / Account ein eigenes Passwort verwenden. Am besten und einfachsten mit einem Passwort-Manager... Dann kann zwar noch das Passwort bekannt werden, aber immerhin ist nur der eine Dienst / Account betroffen...
    • Leider Geil 11.06.2017 18:15
    • Tavares 12.06.2017 10:06
      Highlight Highlight Ja klar, auch Passwort-Manager sind nicht vor Einbrüche / Bugs geschützt.

      Es gibt aber bspw. auch KeePass, das ist eine OpenSource-Software und lässt sich ohne Installation auf einem USB-Stick starten. So kann man die Passwortdatei lokal oder auf einem USB-Stick dabei haben (gibt zudem auch eine App für Smartphones).

      Auch das ist nicht 100%ig sicher (was ist das schon?) aber der Angriffsvektor ist dann schon mal sehr klein, der ist dann schon eher auf einen Benutzer zugeschnitten (Angreifer muss an Datei und Masterpasswort kommen).
  • Leider Geil 11.06.2017 16:12
    Highlight Highlight Ja watson.ch ist auch nicht besser. Wo bleibt https für login und cookies?
  • DerZürcher 11.06.2017 16:09
    Highlight Highlight Fragt doch mal euren Apotheker oder Arztpraxis wie sie ihre sensiblen Kundendaten absichern...
    • Me, my shelf and I 11.06.2017 19:32
      Highlight Highlight Mit deiner Thrombose kann Peter der Beispielhacker weniger anfangen als mit deiner Kreditkartennummer.
  • skeeks 11.06.2017 15:04
    Highlight Highlight Bei der Webseite des St. Gallen Open Airs wird bei der Registrierung das Passwort auch in Klartext zugeschickt...
  • Fresh D 11.06.2017 14:58
    Highlight Highlight EF (für Sprachaufenthalte) hat mir auch mal das Passwort einfach als Text per Mail zugesendet. Muss nicht erwähnen, dass ich entsetzt war.

Lauschangriff auf Donald Trumps Handy – ausgerechnet Israel soll ihn bespitzelt haben

Rund ums Weisse Haus in Washington D.C. wurden IMSI-Catcher gefunden ...

Das US-Magazin Politico hat am Donnerstag mit einem Exklusivbericht für Aufregung gesorgt. Die US-Regierung sei zum Schluss gekommen, dass höchstwahrscheinlich Israel hinter einem Lauschangriff auf Donald Trump stecke.

Es seien Mobiltelefon-Überwachungsgeräte gefunden worden, in der Nähe des Weissen Hauses und anderer sensibler Orte um Washington, D.C. Dies hätten drei Quellen, frühere hochrangige US-Beamte mit Insider-Informationen bestätigt. Der Lauschangriff sei in den letzten zwei …

Artikel lesen
Link zum Artikel