Hallo,
Am 08.10.2013 01:16, schrieb Henriette Fiebig:
Man loggt sich doch mit dem Benutzernamen+Passwort
ein, oder? Das
Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben
werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse
zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes
eine Mail an die hinterlegte Mailadresse geschickt wird und von dort
bestätigt werden muß.
Verlustig gegangen sind Passwort-Hash, eMail-Adresse und Sitzungstoken.
Letzters hilft einem nur sehr beschränkt also ignorieren wir’s mal. Bei
einfachen Passwörtern kann ich sehr schnell einen passenden Hash
berechnen um mich bei der WMF einzuloggen (Benutzernamen sind ja
bekannt). Wäre ich der Angreifer würde ich dann auch mal gleich schauen,
ob nicht der email-Zugang mit dem Gleichen Passwort funktioniert (die
Adresse habe ich ja).
Die WMF hat auch nicht das Passwort zurückgesetzt, sondern die Sitzung
(also das Sitzungstoken gelöscht), und das Passwort "gesperrt". Das
heißt das man sich neu einloggen musste (weil das Sitzungstoken ja weg
war) und man aufgefordert wurde ein neues Passwort zu setzen (denn das
alte ist ja gesperrt). Es gab aber keine Verifikation über eMail. Jeder
der das Passwort kannte (oder in Zukunft noch kennen lernen wird), hatte
Zugang zu dem Account – um dann ein neues Passwort zu setzen. Für uns
Daueruser ist das uninteressant (weil wir die Passwörter verändert
haben), aber bei einem ruhendem Account kann ich das Passwort auch noch
nächstes Jahr machen – wenn ich den Hash habe.
Die eMail-Geschichte ist noch aus einem anderen Grund interessant: Es
ist ein Datenschutzproblem. Nicht jeder Benutzer findet es geil, wenn
seine eMail-Adresse bekannt ist.
Das jemand die Adressen verticken könnte, ist jedoch unwahrscheinlich.
Aber diese Mail würde doch an die Mailadresse geschickt, die im
SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den
Mailaccount des Benutzers hacken, um die Bestätigungsmail
abzufangen.
Nein, es gab keine Bestättigungs-eMail. Die "Wir hatten ein Problem,
resette dein Passwort"-eMail wurde auch nicht an die SUL-Adresse
geschickt, sondern an die lokale eMail-Adresse.
Mal abgesehen davon ist das natürlich ein starkes Stück was da
passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI
zusammendenke, dann wirds mir schlecht.
Lustig wäre es auch gewesen, wäre Wikimedias OpenID-Umsetzung schon
weiter – dann hätte ein potenzieller Angreifer noch Zugriff auf viel
mehr Daten gehabt.
Mit freundlichen Grüßen
DaB.
--
Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885