Ich hatte vor einigen Wochen eine SQL Injection bei RTL.de gefunden, und diese dem Betreiber gemeldet.
Nach einem großes Chaos, wurde die Lücke trotzdem gefixed.
Ich wollte die Aussagen, bzw. die Geschichte um diese Lücke noch etwas umfassender beschreiben, als es Gulli in seinen Nachrichten schon schrieb.
1. Anlauf
Ich fand die SQL Injection bei RTL vor genau 21 Tagen, am 10.05.2012. Nach dem Fund schrieb ich umgehend eine Email an den Webmaster, welcher im Impressum genannt wurde und schilderte ihm das Problem.
2. Anlauf
Nachdem ich bis zum 25.05.2012 keine Rückmeldung per Email weder einen Fix des Sicherheitsproblems gesehen hatte, wurde ich langsam etwas aufgeregt und entschied mich dort einmal anzurufen und nachzufragen. Als ich die Nummer aus dem Impressum gewählt hatte, begrüßte mich eine Sekretärin, welcher scheinbar die Existenz solcher Probleme wenig ausmachte. Einen Ansprechpartner konnte man mir nicht geben, da keine IT-Fachkräfte im Haus wären. Ich solle doch die Email erneut an den Webmaster schicken. Nun gut, dachte ich mir, und das ties. Einige Stunden hatte ich die Vermutung das sich etwas regen würde, denn es kam eine Antwort von einem Herrn Jeske, welcher mein Schreiben an die entsprechende Redaktion weitergeleitet haben soll, und bat um ein wenig mehr Geduld.
3. Anlauf
Damit war die Sache für mich zunächst für die nächsten Tage vom Tisch, denn man muss den Leuten etwas Zeit geben, das Sicherheitsproblem zu beheben. Doch es sollte anders kommen, denn vor dem 2. Anlauf bat ich Herrn Frenzel von Sicherheit-Online.org sich auch mal der Angelegenheit anzunehmen. Dieser rief vier Tage später, am 29.05.2012, erneut bei RTL an, und erstaunlicher Weise, wurde er zur IT-Abteilung weitergeleitet, in der man ihm mitteilte, dass diese keine Informationen zu einer Sicherheitslücke bekommen hatten. Als er mir das sagte, war ich etwas erstaunt, denn wofür gibt es eine Webmaster-Emailadresse, wenn die niemand liest und was haben die anderen Menschen getan, welche eigentlich die Email von mir weitergeleitet bekamen? Nachdem Herr Frenzel eine ganze halbe Stunde mit dem IT-Boss RTLs telefoniert hatte, versicherte man ihm die Lücke innerhalb einer Stunde zu beheben.
4. Fix
Ich konnte es nicht nachprüfen, ob es genau eine Stunde war, oder nicht, aber das spielt ja auch keine Rolle. Es ist nur furchtbar traurig zu sehen, dass entweder a) ein solches Unternehmen kein Interesse an Sicherheitshinweisen hat, oder b) die interne Kommunikation eine Zumuntung ist. Aber nun ist das Loch endlich gestopft, und vielleicht hat irgendjemand daraus was gelernt.
Gruß
gehaxelt