Vor zwei Wochen entdeckte ich bei Teleboy erneut eine äusserst kritische Lücke. Im Gegensatz zum letzten Mal wurde aber deutlich schneller reagiert.

Am 8. Oktober versuchte ich, ob es möglich sei, seinen Loginnamen bei Teleboy zu ändern. In den Benutzereinstellungen ist dies nicht vorgesehen jedoch entdeckte ich, dass auf der Seite ein verstecktes Formularfeld mit dem Benutzernamen ist. Ich machte das Feld mit den Browser internen Entwickertools kurzerhand sichtbar und trug einen neuen Namen ein. Nach dem Absenden des Formulars wurde ich ausgeloggt. Dies war zu erwarten, da meine Session nun nicht mehr stimmen konnte. Ich war dennoch sehr überrascht, dass dies möglich war. Weniger erwartet war, dass ich mich danach nicht mehr einloggen konnte. Ich forderte ein neues Passwort an. Promt bekam ich einen Link zugeschickt, mit dem sich dass Passwort zurücksetzten liess. Als ich wieder auf meine Benutzereinstellungen zugriff, musste ich ziemlich verdutzt und erschrocken Feststellen, dass da komplett andere Daten eingetragen waren. Was war passiert? Mein neu gewählter Loginname war scheinbar schon vergeben und ich habe den fremden Account schlich mit meiner Mailadresse überschrieben. Ich habe also durch eine unerwartete, fatale Lücke versehentlich einen fremdem Account gehijackt. Auf dem selben Weg habe ich mich wieder in meinen Alten Loginnamen umbenannt.

Glücklicherweise habe ich inzwischen direkten Kontakt zum Produktverantwortlichen von Teleboy, worauf die Lücke rasch behoben werden konnte. Auch für den von mir gekaperten Account wurde gesorgt, auch wenn dieser, wie ich im Nachhinein erfuhr, inaktiv war.

Mein Fazit daraus: Meine Befürchtung aus dem letzten Artikel hat sich bestätigt: Es sind noch weitere gefährliche Lücken vorhanden und Teleboy muss die angekündigte Erneuerung der Infrastruktur wirklich schleunigst vorantreiben!