MacMacken

Bei MacHeist kann man noch bis Mitte nächster Woche zahlreiche Mac-Anwendungen zu einem attraktiven Paketpreis kaufen – aktuell vermeldet MacHeist über 18’000 Käufer. Daneben dürfte es aber zahlreiche Mac-Benutzer geben, die sich das aktuelle MacHeist-Paket zum Nulltarif besorgen konnten, denn durch eine Sicherheitslücke bei MacHeist lassen sich jene Seiten, welche die Seriennummern für die gekauften Anwendungen enthalten, problemlos durch jedermann abrufen …

… die Sicherheitslücke besteht darin, dass jeder MacHeist-Käufer über eine eigene Seite die Seriennummern für die gekauften Mac-Anwendungen abrufen kann und diese Benutzerseiten über URLs in Format https://www.macheist.com/order/id/XXX/ ohne jeden weiteren Schutz zugänglich sind – XXX steht dabei für die Identifikation des einzelnen MacHeist-Käufers beziehungsweise dessen Transaktion bei MacHeist.

Einige dieser Benutzerseiten konnten über eine einfache Suche bei Google gefunden werden, weitere liessen sich durch Ausprobieren entdecken («Brute Force»). Und sollte MacHeist keine zufälligen Benutzeridentifikationen verwenden, liessen sich sogar gleich alle Benutzerseiten vergleichsweise komfortabel «abschöpen».

Peinlich, dass sich bei einem kommerziellen Projekt in der Grössenordnung von MacHeist eine derart offensichtliche Sicherheitslücke einschleichen konnte!

Dieser Blogeintrag wurde am Freitag, 18. Januar 2008 um 14:05 Uhr publiziert und mit den Schlagwörtern «hack, idenfitikation, internet-adresse, käufer, macheist, paketpreis, seriennummer, sicherheit, sicherheitslücke, url» versehen. Etwaige Kommentare zu diesem Blogeintrag können Sie per RSS sowie per E-Mail-Benachrichtigung verfolgen. Sie können diesen Blogeintrag direkt kommentieren oder sich per Trackback von Ihrer eigenen Website aus dazu äussern.