Nicht nur Cablecom, auch Datazug hat Sicherheitsprobleme

Tuesday, 3. April 2007

Nicht nur Cablecom, auch Datazug hat Sicherheitsprobleme

von Fredy Künzler

Cablecom hat ziemlich rassig reagiert. Die massiven Sicherheitsprobleme der virtuellen Anrufbeantworter seien behoben, meldet der PC-Tipp.

Es sieht fast aus, als sei das Aufspüren allfälliger Sicherheitsprobleme und leicht knackbaren Codes zum Volkssport geworden. Auch die Sonntagszeitung notiert dies in einem Untertitel: Digitales Schwarzsehen wird zum Volkssport ... doch den Hobby-Hackern sei wieder einmal Artikel 143 des Schweizerischen Strafgesetzbuchs in Erinnerung gerufen:

Unbefugtes Eindringen in ein Datenverarbeitungssystem

Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Nun, das Default-Passwort "0000" gilt wohl nicht als "besonders gesichert", doch Brute-Force Attacken und ähnliches sind jedoch nicht statthaft, und man lässt sich wohl besser nicht erwischen.

Ein blogg.ch Leser und Kunde von Datazug beschrieb in einer Email, wie er mittels einfacher kombinatorischer Regeln nicht nur seine eigenen @datazug.ch Emails, sondern auch jene des Präsidenten einer Gemeinde im Kanton Zug lesen konnte. Dieser hätte nämlich sein Default-Passwort nicht verändert.

Zwar hat Datazug nicht wie Cablecom bei allen Kunden das selbe Standardpasswort "0000" benutzt, doch mittels relativ einfach herzuleitenden Zahlen- und Buchstabenkombinationen sei das Passwort locker zu erraten gewesen. Nebst den Emails hätte man auch problemlos in den Online-Account einloggen können. Dass dies den besagten Gemeindepräsidenten und andere Datazug Kunden kaum freuen dürfte, steht wohl ausser Zweifel.

Ach ja: bezüglich Informantionen an blogg.ch halte ich mich stets an das verfassungsmässig garantierte Redaktionsgeheimnis (Bundesverfassung Art. 17):

Art. 17 Medienfreiheit

1 Die Freiheit von Presse, Radio und Fernsehen sowie anderer Formen der öffentlichen fernmeldetechnischen Verbreitung von Darbietungen und Informationen ist gewährleistet.

[...]

3 Das Redaktionsgeheimnis ist gewährleistet.

Geschrieben von Fredy Künzler in Datenschutz um 19:19 | Kommentare (6) | Trackback (1) | Top Exits (0)

Abstimmungszeitraum abgelaufen.

Derzeitige Beurteilung: 4 von 5, 5 Stimme(n) 7589 Klicks

Tags für diesen Artikel: brute-force, bundesverfassung, cablecom, cracker, datazug, default-passwort, email, hacker, passwort, redaktionsgeheimnis, sicherheit, strafgesetzbuch

Artikel mit ähnlichen Themen:

Trackbacks

Trackback für spezifische URI dieses Eintrags

Antwort von DataZug auf die Sicherheitsprobleme
von Fredy Künzler DataZug bezieht Stellung zu den Sicherheitsproblemen: Der Blog-Eintrag über die angeblich mangelnde Sicherheit von @datazug.ch Mailboxen entspricht nicht den Tatsachen. DataZug verwendet seit mehreren Jahren generierte Default Passwör

Weblog: CH Internet Szene
Aufgenommen: Apr 04, 19:38

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Als Datazug-Kunde musste ich das gleich in meine News posten, da man im "OnlineAcount", auch "my datazug" genannt recht viel "verstellen" kann.

http://www.paavo.ch/index.php?section=news&cmd=details&newsid=6

#1 paavo (Homepage) am 04.04.2007 00:25 (Antwort)

1. Swisscom hatte mit ihrer Combox das gleiche Problem vor Jahren, das Standardpasswort entsprach den letzten vier Ziffern der Telefonnummer. Ich nehme an, das ist heute nicht mehr so?

Traurig daran ist, dass Cablecom nichts daraus gelernt hat, rein gar nichts.

2. Fällt diese Website unter die Medienfreiheit?

#2 Pavlov am 04.04.2007 09:37 (Antwort)

DataZug? Das sind doch die, die gleich böse Mails schreiben, wenn man ein bisschen viel downloadet...

#3 Chris (Homepage) am 04.04.2007 15:50 (Antwort)

Genau!

Momentan liegt die Fair Use Limitte bei 20 - 25 GB.
Diese errechnet sich aus dem fünffachen Durchschnitt aller Flat Kunden.
Überschreitet man diese, bekommt man böse Mails.
Bei 47GB bekommt man die letze nette Mail, bei 50GB wird das Modem deaktiviert und mit einer Kündigung gedroht.
Würden alle mehr Traffic verbrauchen, stiege die Fair Use Limite und alle könnten noch mehr Traffic verbrauchen... Logisch oder?

#3.1 paavo am 04.04.2007 15:55 (Antwort)

Gestern Abend berichtete ich über den Beitrag über die Datazug auf blogg.ch
und heute morgen beglückte mich schon eine freundliche Mail den Inhalt unverzüglich zu entfernen.

http://paavo.ch/admin/index.php?cmd=news&act=edit&newsId=7

#4 paavo (Homepage) am 04.04.2007 16:26 (Antwort)

Sichere defaultpasswörter alleine reichen leider nicht. SolNet macht zwar gute Passwörter, dafür war es als eingeloggter User mögliche seine Accountdaten, inklusieve Adresse und Passwort, als pdf abzurufen. Durch ändern der per get übergebenen E-Mail Adresse kam man so an alle Passwörter/Adressdaten. Die einzige Reaktion auf das Melden der Lücke war. dass man die Accountdaten nicht mehr als pdf kriegt. Eine Stellungname/Antwort blieb aus.

#5 Jiuka (Homepage) am 04.04.2007 20:25 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen