Mangelnde Sicherheit: Passwörter im Klartext gespeichert

Wagner1980 · Anmeldedatum: 10.08.2013 Beiträge: 8

Hallo,

nachdem mich p2p-Kredite verstärkt interessieren, wollte ich vor der Anlage größerer Summen noch mein Gewissen beruhigen und rudimentär prüfen, ob die Seiten denn auch "sicher" sind. Angefangen habe ich bei Isepankur* und bin bereits nach wenigen Minuten auf die erste Lücke gestoßen, die starke Zweifel bei mir weckt. Die Passwörter für den Account werden auf dem Isepankur-Server anscheinend im Klartext gespeichert. Das kann man daran erkennen, dass beim Login Benutzername und Passwort ohne weitere Verarbeitung an den Server übertragen werden:

returnUrl=%2Fhome&username=vorname.nachname%40emailaddresse.de&password=12345678

12345678 ist dann durch Euer Passwort zu ersetzen

Die Verbindung zu Isepankur* ist zwar verschlüsselt, aber bei Isepankur* kann man mein Passwort im Klartext sehen. Ich hätte erwartet, dass mein Passwort vor der Übertragung "gehasht" wird, um bei einem Hack auf den Isepankur-Server einen Passwort-Klau zu verhindern, oder das Passwort vor allzu neugierigen Blicken der Administratoren zu schützen.

Dann habe ich bei auxmoney.com nachgeschaut und das gleiche entdeckt.

Wie seht Ihr das Thema Sicherheit? Muss man mit den Lücken leben, auch wenn es um größere Beträge bzw. das hart Ersparte geht? Bei einer Chat-Plattform oder einem Forum wäre es mir ja noch (fast) egal. Bei einem Kreditvermittler, fast vergleichbar mit einer Bank, hätte ich etwas anderes erwartet.

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5229

Zumindest am Anfang hat Isepankur* das Passwort auch noch in einem Cookie gespeichert....

pc · Anmeldedatum: 22.10.2012 Beiträge: 133

Hi,

Werbeunterbrechung / Werbung · Verfasst am: 20.08.2013, 10:14 Titel:

creditguru · Anmeldedatum: 26.06.2012 Beiträge: 1749 Wohnort: Karlsruhe

Ist das nicht irrelevant?
Was will jemand mit meinem isePankur Zugang?
Er kann höchstens meine Barreserven in Projekte investieren, die mir nicht gefallen.
Aber das Geld lässt sich sowieso nur auf mein Referenzkonto (Einzahlungskonto) auszahlen.
Insofern sehe ich hier wirklich keine gravierenden Risiken.

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18086

Er kann alle Deine Kredite mit 98% Rabatt anbieten? Verkaufen sich bestimmt wie geschnitten Brot Very Happy

_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

Wagner1980 · Anmeldedatum: 10.08.2013 Beiträge: 8

@pc Du hast recht. Wahrscheinlich wird das Passwort wirklich nicht im Klartext gespeichert, aber im Klartext verarbeitet, was nicht sein muss. Mit einem Salt wird der Hash auch nicht einfach zum Ersatz für das Passwort. Ich habe heute mein Passwort als vergessen gemeldet und bekam ein neues und nicht das alte Passwort. Das hat mich beruhigt.

@creditguru: Mich stören zwei Sachen. Erstens verwende ich manche Passwörter (aber nicht dieses) auf mehreren Plattformen und zweitens kann man mit meinem Geld auf Betrugsprojekte bieten und dann real an das Geld gelangen. Und dann gibt es ja noch den Weg mit dem Rabatt im Resale.

creditguru · Anmeldedatum: 26.06.2012 Beiträge: 1749 Wohnort: Karlsruhe

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18086

Die Frage ist weniger was er davon hätte, als wie groß Dein Schaden wäre, oder?
_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

creditguru · Anmeldedatum: 26.06.2012 Beiträge: 1749 Wohnort: Karlsruhe

creditguru · Anmeldedatum: 26.06.2012 Beiträge: 1749 Wohnort: Karlsruhe

topgear · Anmeldedatum: 05.06.2013 Beiträge: 6

Passwörter über SSL zu übertragen ist dann unsicher, wenn diese per GET-Request übertragen werden, weil man jeden Request im Logfile und im Traffic mitlesen kann. Im GET-Request wäre das Passwort teil des Requests und damit tatsächlich "leicht" ausspähbar.

Isepankur sendet aber Username und Passwort aber als POST-Request; d.h. die Übertragung ist durch SSL transportverschüsselt.

Wo findet man ein Beispiel für returnUrl=%2Fhome&username=vorname.nachname%40emailaddresse.de&password=12345678
Ich sehe auf den isePankur-Seiten bisher nur POST-Requests ... irre ich?

kenzoo · Anmeldedatum: 20.02.2013 Beiträge: 399

Wagner1980 · Anmeldedatum: 10.08.2013 Beiträge: 8

topgear · Anmeldedatum: 05.06.2013 Beiträge: 6

@Wagner1980: Ich hoffe damit sind Deine Bedenken hinfällig. Um ganz sicher zu gehen könntest Du Deinen Loginvorgang mit tcpdump mitschneiden und den Mitschnitt anschließend nach Deinem Passwort durchsuchen - da wird nichts zu finden sein.

Ich bin sehr sicher, dass man mit dem isepankur-Account anderer Leute und krimineller Energie hier schon sehr böse Sachen machen kann um sich persönlich zu bereichern. In sofern gute Nachfrage ...!

Wagner1980 · Anmeldedatum: 10.08.2013 Beiträge: 8