Hallo, Am 08.10.2013 01:16, schrieb Henriette Fiebig:
Man loggt sich doch mit dem Benutzernamen+Passwort ein, oder? Das Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes eine Mail an die hinterlegte Mailadresse geschickt wird und von dort bestätigt werden muß.
Verlustig gegangen sind Passwort-Hash, eMail-Adresse und Sitzungstoken. Letzters hilft einem nur sehr beschränkt also ignorieren wir’s mal. Bei einfachen Passwörtern kann ich sehr schnell einen passenden Hash berechnen um mich bei der WMF einzuloggen (Benutzernamen sind ja bekannt). Wäre ich der Angreifer würde ich dann auch mal gleich schauen, ob nicht der email-Zugang mit dem Gleichen Passwort funktioniert (die Adresse habe ich ja). Die WMF hat auch nicht das Passwort zurückgesetzt, sondern die Sitzung (also das Sitzungstoken gelöscht), und das Passwort "gesperrt". Das heißt das man sich neu einloggen musste (weil das Sitzungstoken ja weg war) und man aufgefordert wurde ein neues Passwort zu setzen (denn das alte ist ja gesperrt). Es gab aber keine Verifikation über eMail. Jeder der das Passwort kannte (oder in Zukunft noch kennen lernen wird), hatte Zugang zu dem Account – um dann ein neues Passwort zu setzen. Für uns Daueruser ist das uninteressant (weil wir die Passwörter verändert haben), aber bei einem ruhendem Account kann ich das Passwort auch noch nächstes Jahr machen – wenn ich den Hash habe.
Die eMail-Geschichte ist noch aus einem anderen Grund interessant: Es ist ein Datenschutzproblem. Nicht jeder Benutzer findet es geil, wenn seine eMail-Adresse bekannt ist. Das jemand die Adressen verticken könnte, ist jedoch unwahrscheinlich.
Aber diese Mail würde doch an die Mailadresse geschickt, die im SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den Mailaccount des Benutzers hacken, um die Bestätigungsmail abzufangen.
Nein, es gab keine Bestättigungs-eMail. Die "Wir hatten ein Problem, resette dein Passwort"-eMail wurde auch nicht an die SUL-Adresse geschickt, sondern an die lokale eMail-Adresse.
Mal abgesehen davon ist das natürlich ein starkes Stück was da passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI zusammendenke, dann wirds mir schlecht.
Lustig wäre es auch gewesen, wäre Wikimedias OpenID-Umsetzung schon weiter – dann hätte ein potenzieller Angreifer noch Zugriff auf viel mehr Daten gehabt.
Mit freundlichen Grüßen DaB.