Communitytests » Sieben Fliegen auf einen Streich!

So kam es mir vor, als ich vor Kurzem ein paar Communities, Flirt- und Partnerbörsen entdeckt habe. Alle sahen recht gleich aus. Auch die Funktionen waren identisch. Bei Einigen jedoch, fand ich einen eindeutigen Copyright-Vermerk: Stefla-web.de. Kurzerhand habe ich diese Seiten einigen Standardtests unterzogen. Nach knapp 4 Minuten war ich in der Lage, jeden beliebigen Account zu übernehmen. Ich hatte vollen Zugriff auf alle Foren, auch auf das "versteckte" Moderatorenforum.

"Das kann doch nicht wahr sein!" dachte ich mir und habe die Entwickler der Software gleich telefonisch kontaktiert. Zuerst wollte man mir nicht glauben. Als ich meine Vorgehensweise erläuterte, war man tatsächlich überrascht, daß es möglich war, Cookies zu manipulieren.

Zur Erklärung: Cookiemanipulation ist einfachstes Handwerk. Als würde man einem Automechaniker einen Schraubenschlüssel erklären.

Nach 2-stündigem Telefonat wurde dann die Profilübernahme etwas erschwert, der Rest jedoch aufgrund der Serverlast, beim Alten gelassen. Bei einem weiteren Versuch gelang es mir dann, den Administrationsaccount zu übernehmen, ohne das Passwort zu kennen. Allerdings konnte ich das Passwort nach der Übernahme bequem auslesen. Auch war es mir möglich, die persönlichen Nachrichten der User einzusehen, wie auch deren Passwörter. Es wäre eine Sache von Sekunden gewesen, die Communities, Flirt- und Partnerbörsen komplett lahm zu legen, sowie alle Userdaten zu kopieren. Die nächste Frage, die sich mir stellt, lautet: Darf der Administrator jederzeit und ohne Erlaubnis persönlichen Nachrichten lesen? - Nein, das ist verboten! Möglich ist es bei dieser Software allerdings schon. Fragwürdig?
Leider stellt sich die Firma Stefla-web.de seit dieser Mitteilung auf taub und blind und ist nicht bereit, diese Fehler zu beheben.

Stefla-web.de stellt eine Software zum Kauf zur Verfügung, die offensichtlich von vielen Leuten genutzt wird, jedoch keinerlei Schutzmaßnahmen hat. Der gemeine User bekommt hiervon allerdings nichts mit. Er wendet sich vertrauensvoll an den Moderator oder Administrator der entsprechenden Seite. Dieser jedoch hat kaum Einfluss auf die Machenschaften der Hersteller, da er das ganze System ja fertig gekauft hat - zu einem horrenden Preis!

Vergleich: Man beschwere sich beim Vorbesitzer des Autos über den kleinen Aschenbecher. Baut der Hersteller deshalb einen Größeren ein?
Wer eine Liste der erwähnten Seiten vermisst, kann sich einfach bei Stefla-web.de umschauen. Man wird sicher fündig! - Auch wenn nicht alle Seiten gelistet sind. Eventuell folgt ja hierauf noch ein Nachtrag.