PayPal musste von Leck erst überzeugt werden
 

Eine Diskussion über Sinn und Unsinn der Zahlung über Paypal hatten wir schon mal aber das die einen Hinweis auf ne Sichercheitslücke einfach ignorieren und schönreden ist für mich jetzt ein endgültiges KO Kriterium. :Nee:

Zwei junge Hacker haben PayPal gezeigt, wie man einen Webserver richtig konfiguriert. Die Sicherheitslücke war groß, die Firma reagierte trotzdem träge.

Ohne den Artikel jetzt gelesen zu haben... in der Zeitschrift c't war über PayPal schon öfter was in der Rubrik "Vorsicht Kunde" zu lesen.
Die Transaktionsgebühren sind m.W. auch nicht ganz ohne...
ich nutze es auf jeden Fall nicht.

ein Studienkollege ist Admin bei bei einem großen TK Anbieter und dort zuständig für die Homepage.... der bekommt am Tag 100-200 Mails von Hackern die angeblich Sicherheitslücken gefunden haben.. und natürlich gegen eine kleine Bezahlung oder guten Job beim schließen helfen würden.... 99,9% der Fälle sind bloss inhaltsloser Mist, die anderen 0,1% werden von populistischen Journalisten übertrieben und für dumme Leserschaft aufgebauscht,.... :Cheese:

Also konfiguriert Eure Server weiter schlampig und kümmert Euch nicht um Patches, der liebe Herrgott wird schon dafür sorgen, dass alles gutgeht. ;)

Die Kunst dabei ist es, die sinnvollen von den sinnlosen E-Mails zu unterscheiden und den richtigen Hinweisen nachzugehen.

Das mag so sein, wobei ich bei einer Meldung in der ct durchaus sowohl die Klassifizierung "populistisch" für die Schreiber als auch die "dumm" bei den Konsumenten für deutlich unter dem üblichen Schnitt liegend halten würde.....

Wieso? Wenn der Herr Studienkollege alles 100% sicher im Griff, keine Hintertürchen versehentlich offen gelassen und keine Sicherheitslücken verpeilt hat...:Cheese:

Ich sage nur:

Ich weiß ja nicht, was für Systeme PayPal oder der Autor benutzt, aber auf meinem System ist ein Programm /usr/bin/passwd und eine Konfigurationsdatei /etc/passwd, aber dass es einen solchen Ordner geben soll, wäre mir neu. Soviel also schonmal zur Sachkenntnis.

Ich habe mir den Artikel nun doch mal durchgelesen: Ein unterirdisches Machwerk.
Ist das ein Journalismus-Schülerwettbewerb oder versucht man Menschen am Rande der Gesellschaft als Journalisten zu resozialisieren?

"Monatelang konnten die beiden auf den Server von PayPal zugreifen und dort Dateien auslesen und herunterladen."
Wozu ist denn wohl so ein Server ans Internet angebunden? :Maso:

"Das waren die Root-Server, da läuft alles drüber. Wir hätten den gesamten Quellcode von PayPal auslesen können." Doch sie sind white hats – gute Hacker.

Wie kann man so viel Mist in so wenige Worte packen? :Kotz:

Kompletter Horror. Dem Manne sollte man das Schreiben verbieten, zumindest über alles, was auch nur ansatzweise mit Informationsverarbeitung zu tun hat.

Ganz am Rande wollte ich noch erwähnen, dass ich PayPal für eine der übelsten Geißeln der Menschheit halte. Je mehr Probleme die haben, desto besser.

Natürlich hat der Zeit-Journalist keine Ahnung von Webservern und deren Konfiguration oder gar Programmierung.
Aber dass es offenbar möglich war, Dateien downzuloaden, welche sich ausserhalb der über den Webserver öffentlich zugänglichen Verzeichnisse befinden, wie z.B. Betriebssystemdateien vom Computer, auf dem der Webserver läuft, scheint mir aus dem Text hervorzugehen, obwohl fehlerhaft (Datei als Ordner etc.) beschrieben.

Schon klar. Aber im einleitenden Teil lässt er reisserisch so klingen als sei der Zugriff auf einem Server im Internet - sogar den von PayPal!!1!1! - etwas Ungeheuerliches. Wer nicht weiterliest (mit Recht), bekommt die Qualifizierung dieser Aussage gar nicht mit.

Wenn z.B. unsere Kanzlerin sieht, dass jemand "auf den Server von PayPal zugreifen und dort Dateien auslesen und herunterladen" konnte, kriegt sie doch einen Herzkasper ===8-()
...und fängt wieder an über das Neuland rumzuheulen.

Hängt davon ab auf was man zugreifen kann. Dass man die Systemdateien lesen kann ist, ist nicht nur ungewöhnlich sondern katastrophal. Wenn das geht dann sind die erwähnte PHP Skripte selbst, samt allen sich darin befindlichen Informationen wie Pfade, Hostnamen und wo möglich Passwörter für z.B. Datenbanken ebenfalls ungeschützt.

Die Tatsache, dass die Beiden mehrere Tausend € als Belohnung erhalten haben, zeigt dass der Zugriff doch eher ungewöhnlich war.

Natürlich. Das war aber gar nicht mein Punkt. Ich störe mich in diesem speziellen Aspekt - mal den ganzen Artikel betrachtet - nicht am Inhalt. Es geht mir um den Tonfall und darum, wo die Akzente gesetzt werden:
Generell ist es erstmal die Aufgabe eines Servers Daten anzubieten.
Ein Server ist sehr glücklich :liebe053: wenn man auf seine Daten zugreift!
Das so zu platzieren und zu formulieren als sei es etwas Anstößiges, ist entweder ignorant, stümperhaft oder unseriös.

Das kann man so nicht sagen. /etc/passwd ist auf einem Linuxsystem allgemein zugänglich, hat also standardmäßig für alle Nutzer Leserechte. Ist es nämlich nicht so, dass in der Datei, wie der Name suggeriert, Passwörter stehen würden, dafür ist /etc/shadow da. Wenn ich mir einen V-Server anmiete, bin ich da auch mit tausenden anderen Nutzern drauf und kann die /etc/passwd auslesen, sofern das vom Administrator nicht explizit geändert wurde. Die /etc/shadow Datei hingegen kann ich nicht auslesen.

Dateien, die Passwörter enthalten, sollten wie gesagt keine öffentlichen Leserechte haben. Und das z.B. PHP Dateien einfach so ausgeliefert werden, ist auch nicht sehr wahrscheinlich, da der Server so konfiguriert ist, dass er Dateien mit entsprechendem MIME-Type erstmal durch den Interpreter jagt.

Das dieses Leck natürlich nicht gut ist, ist klar. Aber ich finde es falsch, als Autor mit mangelnder Sachkenntnis Leute zu polarisieren, denen ebenfalls die Sachkenntnis fehlt. Das schafft nur Panik.

Der Autor zitiert immerhin die Quelle, den Blogeintrag, den er als PC-Laie (schlecht) zusammenfasste. Im Blog stehen die problematische Codezeile und die Zeit, welche die Firma bis zur Fehlerbereinigung (= 1 Zeile Code) brauchte.

https://www.internetwache.org/paypal...ke-10-09-2013/

Schon besser