Peinliche Panne bei Schweizer Web-Service-Provider
E-Mails von VisionGate-Kunden ließen sich über einfache URLs ohne Passwort abrufen.
"Ihre persönlichen und geschäftlichen Dokumente, Adressen, Telefonnummern, Passwörter, Seriennummer, Favoriten (URL-Links), Termine, Mails, Fotos und vieles mehr, können Sie verschlüsselt auf dem Visiongate-Server bei Cybernet sichern und dies alles von jedem PC -- weltweit -- mit einem persönlich definierten Passwort abrufen." wirbt der schweizer Web-Service-Provider VisionGate. Tatsächlich konnte jedermann über spezielle URLs die persönlichen Mails der VisionGate-Kunden abrufen -- ganz ohne Passwort und unverschlüsselt.
Ein Administrator hatte in seinen Log-Files eine seltsame URL entdeckt, bei deren Aufruf der komplette Text einer Mail angezeigt wurde. Durch Variation eines Parameters mit der ID erhielt er Zugriff auf beliebige Mails weiterer VisionGate-Kunden.
Nach der Benachrichtigung durch heise Security am Samstag schaltete VisionGate das System Montagabend offline. Der Service-Provider nehme den Betrieb zunächst mit einem Provisorium wieder auf, habe aber bereits einen Auftrag für ein komplettes Neudesign vergeben, erklärte Rolf Wick von VisionGate in einer Stellungnahme. Des weiteren habe man alle betroffenen Kunden über die mögliche Kompromittierung der persönlichen Daten informiert. (ju)
