Troy Hunt ist einer der renommiertesten Online-Sicherheits-Experten. Bekanntheit erlangte er durch seine Webseite Have I Been Pwned?. Besucher können dort ihre E-Mail-Adresse eingeben und innert Sekunden herausfinden, ob eines ihrer Online-Konten in die Hände von Hackern gefallen ist. Dank der Webseite habe ich zum Beispiel bemerkt, dass mein Dropbox-Passwort vermutlich in die Hände der Dropbox-Hacker gelangt ist.
Auf seinem Blog gibt Hunt ein paar Müsterchen zum Besten, welch haarsträubende Sicherheits-Fails sich Anbieter von Online-Diensten leisten. Einige der Vorfälle sind aktuell, andere liegen schon Jahre zurück. Aber kommen wir ohne weitere Umschweife zu Fail Nr. 1.
Sicherheits-Fragen wie «Was ist deine Lieblingsfarbe?» sind ein beliebtes, aber auch absolut untaugliches Mittel, um sich an das Passwort erinnern zu lassen oder gar ein neues Passwort anzufordern.
A security question on a website I was just on: “What is the name of your grandmother’s dog?”
— Myles Eftos (@madpilot) 26. November 2014
The fuck.
Die schlimmste Sicherheits-Frage ist aber definitiv die Frage aus dem oben stehenden Screenshot: «Wie heisst die Hauptstadt von Kalifornien?» Die Betreiber solcher Webseiten hoffen vermutlich, dass sich die Hacker totlachen.
Das britische Unternehmen Betfair ist laut Wikipedia «Betreiber der weltweit grössten Online-Wettbörse für Sportwetten». Wir dürfen also davon ausgehen, dass Betfair ziemlich viele Nutzer hat, die um ziemlich viel Geld wetten.
Kaum zu fassen, aber auf der Online-Wettbörse liess sich das Passwort eines beliebigen Nutzers zurücksetzen, wenn man lediglich dessen E-Mail-Adresse und Geburtsdatum kannte. Für Betrüger war es ein Kinderspiel diese beiden Daten herauszufinden und danach ein neues Passwort zu erstellen.
Das wirklich Üble daran: Betfair war sich der Sicherheitslücke voll und ganz bewusst, wie der folgende Tweet zeigt. Ein Sicherheitsexperte fragte 2015 nach, ob man das Passwort tatsächlich nur mit Benutzernamen (E-Mail-Adresse) und Geburtsdatum ändern könne.
@BetfairHelpdesk Is it right that all one needs to change their password is their username and date of birth?
— Paul Sawers (@psawers) 23. April 2015
Die Antwort lässt uns an der Menschheit zweifeln: Betfair gab das Problem zu, argumentierte aber allen Ernstes, dass man gegen die Nutzungsbedingungen verstosse, wenn man seine E-Mail-Adresse, die als Benutzername dient, an Dritte weitergebe.
@psawers Yes, but they would need to attain this information through you, which once again, is a breach of our terms.
— Betfair CS (@BetfairCS) 23. April 2015
Ernsthaft, für was soll eine E-Mail-Adresse gut sein, wenn man sie nicht an andere weitergeben darf?
Sich Passwörter zu merken ist so schwierig. Gäbe es doch etwas einfacheres.
Ungefähr dies müssen sich die Betreiber der folgenden Webseite gedacht haben. Ihre Nutzer konnten sich bis vor Kurzem mit der Handy-Nummer als Benutzername anmelden. Und das Passwort waren die vier letzten Ziffern der Handy-Nummer 🤦
Uhh.. Seriously? Wow. This is a whole new level of stupid. @troyhunt pic.twitter.com/4F3MCocusw
— James Allman-Talbot (@JAllmanTalbot) 16. März 2015
Das Passwort-System ist bombensicher. Ein Hacker müsste zuerst in den Besitz der Handy-Nummer gelangen, die man bekanntlich nie an andere Personen weitergibt, da ... Moment.
Strawberrynet ist ein grosser Online-Shop für Kosmetik-Artikel, der vor allem in Australien, Hongkong und Brasilien beliebt ist. Im August 2016 kündigte man Änderungen beim Login-Verfahren an. In der Zwischenzeit könne man den Express Checkout nutzen und so schnell und bequem ohne Passwort bestellen.
We are going to change our login system soon. Meanwhile, users can still enjoy our express checkout. Stay tuned!
— Strawberrynet (@Strawberrynet) 19. August 2016
Beim Express Checkout muss der Kunde lediglich seine beim Online-Shop registrierte E-Mail-Adresse sowie eine Lieferadresse angeben und der Kauf wird ohne Passworteingabe ausgelöst.
Der Express Checkout öffnete Missbrauch Tür und Tor. Gab man etwa die E-Mail-Adresse einer Bekannten ein, die bei Strawberrynet Kundin ist, erhielt man Zugriff auf persönliche Daten wie Name, Adresse und Telefonnummer.
Beim Online-Shop für Schönheits-Produkte konnte man über Monate einen (weiblichen) Namen und einen populären E-Mail-Anbieter angeben und man war drin!
Das wirklich, wirklich Schlimme daran: Der unsichere Express Checkout wurde vom Kosmetik-Shop nicht als Sicherheitslücke betrachtet, sondern als Feature. Als Sicherheitsexperte Hunt den Online-Shop auf das Missbrauchs-Risiko aufmerksam machte, erhielt er folgende Antwort:
Den Express Checkout gibt's bei Strawberrynet auch heute noch. Allerdings erhält man nicht mehr Zugriff auf die persönlichen Nutzerdaten von Fremden, wenn man deren E-Mail-Adressen eingibt.
Webseiten können sich bekanntlich an ihre Besucher erinnern. Man surft beispielsweise auf Amazon oder Zalando und der Online-Shop weiss, wer man ist. Die Erinnerung an uns wird in einem Cookie, einer kleinen Datei auf dem PC oder Handy, gespeichert. Natürlich ist es praktisch, wenn man beim nächsten Besuch immer noch angemeldet ist, sprich das Passwort nicht immer wieder eintippen muss. Dumm nur, wenn die Webseite das Passwort unverschlüsselt in einem Cookie speichert, wie in diesem Beispiel.
Die Webseite von Aussie Farmers, ein australischer Online-Shop für Bioprodukte, speichert den Benutzernamen und das Passwort im Klartext im Cookie.
Um's noch etwas schlimmer zu machen, wird das Passwort bei jedem Aufrufen der Webseite unverschlüsselt im Internet übertragen. Vergisst man sein Passwort, ist Aussie Farmers so nett und schickt einem das Passwort in einer unverschlüsselten E-Mail zu.
Sicherheitsexperte Hunt machte den Bio-Shop bereits 2013 auf die multiplen Sicherheitslücken aufmerksam. Als Antwort erhielt er das folgende Statement:
Na dann ist ja alles gut. Nicht.
E-Mails werden auch heute noch in vielen Fällen unverschlüsselt übermittelt. Sensible Daten wie Passwörter sollten daher nie per E-Mail verschickt werden. Das hat sich bei einigen Firmen noch nicht herumgesprochen. Die britische Supermarktkette Tesco zum Beispiel schickte Kunden das vergessen gegangene Passwort jahrelang per E-Mail zu.
Sicherheitsexperte Hunt hatte es bereits 2012 ausprobiert und sich von Tesco ein Passwort-Erinnerungsmail zusenden lassen. Et voilà, Tesco schickte das Passwort im Klartext per E-Mail zu.
Tesco ist kein kleiner Bio-Online-Shop, sondern ein Milliarden-Konzern. Man müsste vermuten, sie hätten die Ressourcen, um sich über Online-Sicherheit zu informieren. Doch weit gefehlt.
Als der Sicherheitsexperte Tesco auf das Problem aufmerksam machte, antwortete die Firma mit folgendem Tweet.
Über den Tweet könnte man lachen, aber eigentlich ist es eher zum Verzweifeln. Wenn selbst Grosskonzerne dilettantisch mit unseren Nutzerdaten umgehen, wollen wir nicht wissen, wie arglos kleinere Firmen zum Thema Internet-Sicherheit stehen.
Dass eine Firma dem Kunden das derzeitige Passwort unverschlüsselt per E-Mail zusendet, ist höchst fahrlässig: «Ein Angreifer, der auch Zugriff auf die Mailbox des Opfers hat, kann so das Passwort nutzen, ohne dass der legitime Nutzer etwas davon mitkriegt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli.
Dass unverschlüsselte Passwörter grob fahrlässig sind, haben wir in den letzten Jahren immer wieder erlebt: Wird eine Firma gehackt, kann schlimmeres verhindert werden, wenn die Passwörter verschlüsselt gespeichert sind. Hacker brauchen so Wochen, Monate oder länger, um die Passwörter zu entschlüsseln. Firmen wie Sony, LinkedIn, Yahoo, Dropbox etc., die in den letzten Jahren alle gehackt wurden, hatten so Zeit, ihre Kunden zu warnen.
Tesco übrigens wurde 2014 Opfer eines Hackerangriffs, bei dem Tausende Kundendaten geklaut wurden.
Zuletzt ein Beispiel aus der Schweiz, das mir erst gestern aufgefallen ist: Microspot verkauft Unterhaltungs- und Heimelektronik und ist einer der grössten Online-Shops der Schweiz. Siehe da, der zu Coop gehörende Online-Shop verschickt ein neues Passwort, wenn man das alte vergessen hat, im Klartext per E-Mail zu. Das sieht dann so aus:
Im Unterschied zu Tesco sendet der Schweizer Online-Shop nicht das bisherige Passwort per E-Mail zu, sondern ein neues. Etwas besser, aber sicher ist das ebenfalls nicht. IT-Sicherheitsexperte Friedli sagt:
Weit besser wäre es, würde der Online-Shop einen zeitlich begrenzten Link verschicken, über den man ein neues Passwort festlegen kann. «Optimalerweise informiert eine Webseite oder App den Benutzer zusätzlich auf allen verfügbaren Kanälen darüber, dass der Passwort-Reset ausgelöst wurde, so dass dieser im Falle einer missbräuchlichen Nutzung entsprechende Gegenmassnahmen ergreifen kann», sagt Friedli.