1&1 Puretec: Unsicheres Web-Hosting
Die Passwort-Dateien der Web-Hosting-Kunden von 1&1 Puretec waren offen im Netz verfĂĽgbar.
Web-Hosting, also den eigenen Web-Auftritt in die Hände eines externen Dienstleisters zu legen, ist der von Privatleuten und kleinen Firmen wohl am häufigsten beschrittene Weg zur Internet-Präsenz. Allerdings ist man dann auch in Sachen Sicherheit auf das Know-how des Web-Hosters angewiesen.
Pech hatten die Kunden von 1&1 Puretec, deren Web-Hosting-Angebote Schlund+Partner technisch realisiert. Ein einfacher symbolischer Link, via CGI-Skript in die Tiefen des eingesetzten Linux-Systems gesetzt, erlaubte den Zugriff via Web-Browser nicht nur auf System-Daten, sondern unter anderem auch auf die Passwort-Dateien der dort beheimateten Web-Sites. Die Passwörter selbst sind zwar mit Crypt Einweg-verschlüsselt, können aber, so sie unglücklich gewählt sind, mit Programmen wie Crack zurück in Klartext verwandelt werden.
Nach einem Hinweis der iX ist diese Sicherheitslücke jetzt geschlossen worden. Sicherheitshalber sollten alle Puretec-Kunden ihre Passwörter ändern. (js)
