MacHeist? MacHack! Anwendungen zum Nulltarif …
Freitag, 18. Januar 2008 um 14:05 UhrBei MacHeist kann man noch bis Mitte nächster Woche zahlreiche Mac-Anwendungen zu einem attraktiven Paketpreis kaufen – aktuell vermeldet MacHeist über 18’000 Käufer. Daneben dürfte es aber zahlreiche Mac-Benutzer geben, die sich das aktuelle MacHeist-Paket zum Nulltarif besorgen konnten, denn durch eine Sicherheitslücke bei MacHeist lassen sich jene Seiten, welche die Seriennummern für die gekauften Anwendungen enthalten, problemlos durch jedermann abrufen …

… die Sicherheitslücke besteht darin, dass jeder MacHeist-Käufer über eine eigene Seite die Seriennummern für die gekauften Mac-Anwendungen abrufen kann und diese Benutzerseiten über URLs in Format https://www.macheist.com/order/id/XXX/ ohne jeden weiteren Schutz zugänglich sind – XXX steht dabei für die Identifikation des einzelnen MacHeist-Käufers beziehungsweise dessen Transaktion bei MacHeist.

Einige dieser Benutzerseiten konnten über eine einfache Suche bei Google gefunden werden, weitere liessen sich durch Ausprobieren entdecken («Brute Force»). Und sollte MacHeist keine zufälligen Benutzeridentifikationen verwenden, liessen sich sogar gleich alle Benutzerseiten vergleichsweise komfortabel «abschöpen».
Peinlich, dass sich bei einem kommerziellen Projekt in der Grössenordnung von MacHeist eine derart offensichtliche Sicherheitslücke einschleichen konnte!
Samstag, 19. Januar 2008 um 18:58 Uhr
StudiVZ hat ein ähnliches Problem, per URL kann man auch auf alles zugreifen, das geschützt sein müsste!
http://blogbar.de/archiv/2006/11/20/719/
Samstag, 19. Januar 2008 um 19:04 Uhr
Besteht das Problem bei StudiVZ immer noch? Der verlinkte Blogeintrag ist immerhin mehr als ein Jahr alt …?
Freitag, 13. Juni 2008 um 2:21 Uhr
Lustig - es funktioniert _immer_ noch…