The latest posts in full-text for feed readers.
End of november 2016 I took a look at the AIRTAME wireless presentation HDMI dongle's internal software and found some security issues with Firmware version 2.1.1.
Many of the configuration URLs allow unauthenticated access, even when a device control management password is set. It is possible to read out all configuration including the Wi-Fi password, overwrite all settings. Everyone may change the firmware update channel (alpha/beta/ga), start a firmware upgrade or re-enable disabled Wifi networks.
I reported the issues on 2016-11-25 and got a response 4 days later. On 2016-12-05 I got the confirmation that those issues would be fixed in the upcoming version 2.2 of the firmware.
Everyone is able to change settings by sending parameters in the correct format to bin/save_settings.php, despite that a device control management password is set.
The reason is that /bin/save_settings.php does not check for authentication because the authentication handler is commented out:
<?php
# require_once(dirname(__FILE__) . "/authentication_handler.php");
By sending a HTTP request to bin/change_update_channel.php, you may switch the update channel to alpha/beta/ga. Unauthenticated.
By calling bin/update.php, the update process is started. In combination with change_update_channel, this lets anyone install a new version during a running presentation. Unauthenticated.
bin/disconnect.php lets one re-enable disabled wifi networks. Unauthenticated.
bin/report.php generates a zip file with diagnostics data. It contains detailled report about the device, including the password of the wifi network that the airtame is connected with (device-networks.txt -> wifi password in "psk"). Unauthenticated.
device-manager.txt in that report contains all settings that were successfully protected in bin/get_config.php.
bin/launchapp.php uses the port given as parameter plus the IP address from the requestor, and uses that as HTTP URL as dashboard content.
This lets me navigate to any port on my machine, on which I can run a HTTP server that redirects the airtame to a Donald Trump video page. Unauthenticated.
Calling bin/send_diagnostics.php lets anyone send the report to Airtame Inc.
There are more unprotected admin scripts, but those listed above are the ones people can do the most interesting things with
The Airtame Terms Of Services define the HDMI dongle ("product") as being part of their "services".
These Terms of Service [...] governs your access to and use of our Website, mobile application, Platform, Product, software, and services (collectively, the “Services”), and any Content.
When inspecting the Airtame's code, I broke their ToS which flat out did not allow some parts of my work (5.2) or require written permission for others (5.3).
5.2 Tampering.
You may not use the Services in a way that is detrimental to the operation of the Services or the access or use of the Services by anyone else. You will not upload or transmit viruses, worms or any other destructive code. The restriction in this Section 3(f)(ii) applies to any use that interferes or attempts to interfere with the normal operations of the Services, including by hacking, deleting, augmenting or altering the Services or any Content.
I found an issue that lets the dashboard display content from my own machine, which I see as "alterting any Content".
5.3 Permission Required.
You may not, without Airtame’s prior written permission
- copy, distribute, modify, enhance, translate, reproduce, sell, resell, sublicense, rent, lease, or otherwise attempt to exploit the Services;
- decompile, disassemble, reverse engineer, or otherwise attempt to discover the source code;
- make derivative works of the Services; or
- modify another website so as to falsely imply that it is associated with the Services, Airtame or any other Airtame products or services.
Since I used SSH to access the HDMI dongle and copied the php files to my machine, I'm violating 5.3 section B. Section A was also violated because I exploited security issues during my research.
This is not hacker-friendly at all. To be legally secure, I should have nobody telling about the issues. Airtame should really change their ToS.
And I do not own the dongle because I cannot do everything I want with it. Very sad.
The airtame forum has a small discussion about this and other security problems.
Utku Sen found more vulnerabilities and reported them to Airtame. They will be disclosed when their 3.0.0 software is out. He got a "thank you" package from Airtame:
Handwritten thank you note and a team photo are better than all kind of bounties! Thanks @airtame
Published on 2017-04-04 in datenleck, linux, php
Am 21.11.2016 erhielt ich eine Werbeemail an cweiske+pizza.de@meinedomain - eine E-Mailadresse, die ich nur bei pizza.de verwendet habe. Im pizza.de-Profil hatte ich der werblichen Nutzung meiner Daten widersprochen.
Die Spam-Mail von trend-dialog.de bot Handytarife der "Telefonica Germany GmbH & Co. OHG" an.
Auf meine erste Nachricht an den Support bekam ich nur eine unspezifische Standardantwort:
Pizza.de gibt in keinem Fall Kundendaten an andere Unternehmen heraus und auch anderweitig wurden keine Daten entwendet.
Ich fragte erneut, wie meine pizza.de-spezifische E-Mailadresse woanders landen konnte. Ein anderer Bearbeiter übernahm meinen "Fall" und teilte mir mit, daß der Fall geprüft wird und rechtliche Schritte eingeleitet werden sollen.
Heute fragte ich nach dem aktuellen Status und bekam folgende von der Rechtsabteilung abgesegnete Antwort:
Sehr geehrter Herr Weiske,
die Kollegen aus unserer IT können kein Datenleck bestätigen. Gleichzeitig untersuchen wir momentan einen ähnlichen Hinweis eines anderen Kunden, der uns eine Spam-Email weitergeleitet hatte. Dadurch konnten wir mit hoher Wahrscheinlichkeit die für den Spam-Versand verantwortliche Agentur identifizieren. Unsere Rechtsabteilung prüft aktuell die Möglichkeiten, die Agentur zum Stopp des Spam-Versandes zu bewegen.
Selbstverständlich geben wir keine Daten an andere Parteien weiter. Der Schutz von Kundendaten hat für uns oberste Priorität.
Weitere Informationen bekam ich nicht. Da pizza.de ihre Website selbst betreibt, fällt eine Internetagentur als Verursacher aus. Man kann jetzt nur spekulieren, in welcher Position eine Agentur bei pizza.de sein muß, um an die Kundendatenbank heranzukommen.
In der Spam-Email waren meine folgende persönliche Daten enthalten:
pizza.de hat zur Anzahl der illegal kopierten Datensätze keine Angaben gemacht.
Ich gehe deshalb davon aus, daß das Datenleck die komplette Kundendatenbank von pizza.de umfasst.
Mir stellte sich noch die Frage, ob pizza.de ihre Kunden über die Datenpanne informieren muß. Schauen wir mal ins Gesetz:
Bundesdatenschutzgesetz § 42a verlangt die Benachrichtigung der betroffenen Personen nur in folgenden Fällen:
- besondere Arten personenbezogener Daten (§ 3 Absatz 9),
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
- personenbezogene Daten zu Bank- oder Kreditkartenkonten
Der in Punkt 1 genannte §3 Absatz 9 besagt:
Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Punkt 1 ist also nicht relevant, weil pizza.de im Profil keinerlei solche "besondere Arten personenbezogener Daten" abfragt.
Punkt 2 und 3 sind ebensowenig relevant.
Punkt 4, Bank- oder Kreditkartenkonten ist sehr relevant. pizza.de muß nun feststellen, ob die "betreffende Agentur" auch Zugriff auf die gespeicherten Zahlungsdaten der Kunden hatte oder nicht. Wenn sie es hatte, müssen alle Kunden informiert werden - denn wenn sich diese ominöse Firma nicht scheut, Spam zu versenden, dann ist der Mißbrauch der Kontodaten recht wahrscheinlich.
Pizza.de wurde Mitte 2014 von Delivery Hero aufgekauft, die hierzulande lieferheld.de betreibt. Wer etwas mehr über die Geschäftspraktiken und deren Einfluß auf die eigentlichen Essenslieferanten wissen möchte, den kann ich den Krautreporter-Artikel Ausgeliefert - Wie Pizza.de und Lieferheld die Gastronomie unter Druck setzen empfehlen.
Published on 2016-11-28 in datenleck, kundeistkönig
Am 8. September 2016 suchte ich den Namen eines Ansprechpartners erst bei DuckDuckGo und dann bei Google. Von den wenigen Treffern zum exakten Namen waren die meisten nicht zu gebrauchen, aber einer sah interessant aus: Es war der komplette Export (Dump) der SQL-Datenbank des Onlineshops sicher24.de. Der auf Sicherheitstechnik spezialisierte Shop verkauft Schlösser, Schließzylinder und ähnliches.
Um 14:34 schrieb ich eine E-Mail an die Supportadresse info@sicher24.de und bekam eine automatische Antwort:
Sehr geehrter Kunde,
Sehr geehrter Interessent,vielen Dank für Ihre Mail.
Wir bemühen uns um schnellstmögliche Bearbeitung Ihres Anliegens.
In dringenden Fällen möchten wir Sie jedoch bitten, uns während unserer Geschäftszeiten in der Zeit von Montag – Freitag von 09:00 – 16:00 Uhr telefonisch unter 0351/4775250 zu kontaktieren.
Mit freundlichen Grüßen
sicher24.de -Ihr Onlineshop für Sicherheitstechnik-
FELGNER Sicherheitstechnik GmbH & Co. KG
Heiligenbornstraße 17
D-01219 DresdenTelefon: 0351 47752 - 50
Fax :0351 47752 - 60
Danach passierte nichts. Am Freitag war die .sql-Datei noch online, erst am darauffolgenden Montag war sie verschwunden. Die Domain felgner.pl leitet seitdem auf eine andere Adresse um, und die URL der .sql-Datei liefert "Nicht gefunden".
Ich bekam keinerlei Antwort auf meine Hinweismail.
Laut Einträgen in der Datenbanktabelle whos_online und den letzten Bestellungen war der Datenexport vom 03.03.2016. Demnach dürfte die Kundendatenbank ein halbes Jahr öffentlich im Internet verfügbar gewesen sein.
Die Namen der Tabellen deuten darauf hin, daß die Shopsoftware Zen Cart eingesetzt wird.
Im Datenleck waren folgende Daten von 40.000 Kunden enthalten:
Weiterhin 39.000 Bestellungen mit Rechnungs- und Lieferadressen und den IP-Adressen der Kunden.
Auf der Homepage steht:
Geprüfte Sicherheit
Datenschutz
Das mit dem Datenschutz kann man getrost streichen. Und die "geprüfte Sicherheit" hilft auch niemandem, wenn der Administrator die Sicherungskopie der Datenbank öffentlich zugänglich macht.
Am 17.07.2015 twitterte @sicher24 noch:
Also im Urlaub aufpassen was und mit wem man es im Internet teilt. Damit die Rückkehr nicht zum Frust wird.
Leider haben sie ihren eigenen Ratschlag nicht beherzigt.
Published on 2016-10-17 in bigsuck, datenleck, kundeistkönig