Kundenmails auf Irrwegen
Normalerweise muss man verschiedene Hürden überwinden, um an vertrauliche Kundendaten von Firmen zu gelangen. Doch manchmal reicht auch schon der richtige Domainname, um die Daten frei Haus geschickt zu bekommen.
Normalerweise muss man verschiedene Hürden überwinden, um an vertrauliche Kundendaten von Firmen zu gelangen. Doch manchmal reicht auch schon der richtige Domainname, um die Daten frei Haus geschickt zu bekommen. So ist es jetzt einem 25-jährigen Netzwerktechniker aus Köln passiert. Er hatte sich bereits vor drei Jahren eine leicht zu merkende Domain angeschafft und setzte unter dem Domainnamen auch einen eigenen Mailserver auf. Er staunte nicht schlecht, als er daraufhin Mails von mehreren Firmen bekam, die offenbar an völlig andere Personen gerichtet waren.
So zählte er in den letzten drei Monaten über 140 Mails des Rabattanbieters Payback, die den vollen Namen und die PIN-Nummern von Kunden enthielten. Die Entwickler des Kunden-Management-Systems hatten offenbar im Testbetrieb eine Mailadresse eingetragen, von der sie annahmen, dass sie nicht existierte. Leichtsinnigerweise verwendeten sie aber eine gültige .de-Domain. Korrekt wäre eine extra für diese Zwecke reservierte, für weitere Verwendung ungültig definierte Top Level Domain gewesen, wie sie in RFC 2606 beschrieben sind. Ein Test mit test@test.invalid würde keine Mails nach außen geben und könnte später sehr einfach gefunden werden.
Bei Payback fiel die überzählige Mailadresse nicht auf. Auch im laufenden Betrieb spukte sie noch im System herum und sorgte dafür, dass vertrauliche Daten automatisch an den Kölner verschickt wurden. Das ging über mehrere Wochen so, ohne dass es der Firma aufgefallen wäre. Teilweise kam über ein Dutzend Nachrichten pro Tag. Auf Anfrage von heise online bestätigte Payback-Betreiber Loyalty Partner die undichte Stelle und stellte den unkontrollierten Versand ein. Wie Testkonfigurationen auf Produktivsysteme gelangten, gab die Firma nicht an. Unklar ist auch noch, ob die Kunden benachrichtigt wurden.
Auch vom Mobilfunkbetreiber O2 trudelten Mails in Köln ein. Diesmal handelte es sich um detaillierte Bestellbestätigungen mit vollem Namen und Adressen der Kunden. Eine Anfrage bei O2 ergab, dass ein falsch programmiertes Bestellformular die Ursache war. Immer wenn ein Kunde seine eigene Mailadresse nicht angab, setzte das Formular kurzerhand eine vermeintlich nicht existente Fantasieadresse ein. Dieser Fehler wurde nach Unternehmensangaben schon vor einigen Wochen behoben.
Die beiden Firmen sind nicht die einzigen, denen ab und an eine Mail entfleucht. So erreichten den Netzwerktechniker auch Mails von Bosch, Hapag-Lloyd und der Zentralverwaltung der Max-Planck-Gesellschaft. Der Höhepunkt war ein über 100 Megabyte großes Video, das direkt von einem Formel1-Rennstall stammte.
Die betroffenen Firmen sollten aus der Episode nicht nur lernen, wie sie ihre eigenen Systeme abdichten können. Auch die Erreichbarkeit bei technischen Pannen muss verbessert werden. Auf Hinweis-Mails kam bei einigen Betroffenen über Monate keine Antwort. Wenn dann noch die Hotline ständig besetzt war, gab der Kölner die Kontaktversuche auf. Mit Hilfe der Kölner Sektion des Chaos Computer Clubs dokumentierte er die Sicherheitslücke und wandte sich an die Öffentlichkeit. Er konnte bisher nur die Firmen benachrichtigen, die Mails an seine eigene Domains schickten. Es ist zu vermuten, dass noch zahlreiche andere Domains betroffen sind, deren Inhaber sich nicht so viel Arbeit machen, die Fehler von anderen zu beheben. (Torsten Kleinz) / (jk)
