Infoleak und Sicherheitslücke auf A1.net: Autologin

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen über Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER geführt.

Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon mmia » Sa 22 Okt, 2011 01:41

Ich bin nur durch Zufall auf dieses "Feature" gestoßen. Autologin heißt, dass A1/TA Kunden mit einer A1 IP automatisch eingeloggt werden wenn sie a1.net besuchen. Auf der Seite findet sich eine Menge eigentlich privater Daten: Name, Adresse, Rechnungen, Telefonnummern und sogar ein Online Shop.

Jeder und "jedes" das "Zugang" zu der IP Adresse eines A1 Kunden hat, hat auch Zugang zu diesen Daten. Das heißt nicht nur public Wifi und Proxies die ja ohnehin aus verschiedenen anderen Gründen problematisch sind oder jeder "physische" Benutzer im lokalen Netzwerk (Kinder und Gäste...). Es bedeutet auch, dass jedes Programm oder Script das Zugang zum Internet hat, darauf zugreifen kann: Unbekannte Programme die man in einer sicher geglaubten Sandbox ausführt, Malware Testlabor usw. Es betrifft aber auch normal installierte Schadsoftware die "out of the box" nun schon Zugang zu diesen Daten hat ohne dass der User social engineered werden oder man lang keyboard loggen muss.

Richtig interessant und "gefährlich" wird es allerdings wenn man sich fragt ob man nicht auch über Web und Browserbasierte Sicherheitslücken wie XSS (massenhaft, automatisiert, remote und unbemerkt) Zugang erlangen kann.

Soweit ich weiß wird dieses Forum auch von TA/A1 Mitarbeitern gelesen. Kann mir jemand sagen warum dieses "Feature" opt-out ist? Kann mir jemand sagen wie ein Online Shop mit -nur einer IP Authentifizieren- überhaupt die relevanten Auflagen erfüllt? Und zu guter Letzt, wen kann ich kontaktieren damit diese Sicherheitslücke "gestopft" wird?
mmia
Neu im Board
Neu im Board
 
Beiträge: 1
Registriert: Sa 22 Okt, 2011 00:03

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon zid » Sa 22 Okt, 2011 04:43

naja, dieses feature ist allgemein bekannt, und man kann und konnte es ja auch abdrehen (hab ich z.b. vor ca. 3 ewigkeiten gemacht) -> Autologin verwalten

>"...und Gäste..."
wenn man gastzugänge laufen hat, dann sollte man dieses feature wirklich abdrehen oder halt die seiten der ta für die gäste sperren.

>"...Kann mir jemand sagen warum dieses "Feature" opt-out ist?..."
ich bin kein mitarbeiter der ta und kann deshalb nur raten: kiss für die user... mir persönlich würde ein opt-in besser gefallen.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon lordpeng » Sa 22 Okt, 2011 06:33

das ist weder geheim noch neu und betrifft IMHO nur privat produkte, bei business produkten isses mir jedenfalls noch nie passiert, dass ich mich NICHT anmelden musste

<SARKASMUS> am besten schnell den anonymous deppen bescheid sagen ... </SARKASMUS>
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon danielhruska » Sa 22 Okt, 2011 11:09

ich bin froh über dieses feature - musste ich mich bei anderen providern (tele2) schon für jedes erdenkliche ding mit unterschiedlichsten userdaten anmelden (ich glaube, tele2 ist da am schlimmsten...) brauch ich das bei a1 eben nicht!
danielhruska
Board-Mitglied
Board-Mitglied
 
Beiträge: 134
Registriert: Mi 23 Jul, 2003 18:24

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon Herculess » Sa 22 Okt, 2011 13:46

das ist eine wahnsinns entdeckung - gibt's ja erst ein paar jährchen.
find's ebenfalls ok, vor allem, da man's abstellen kann.

greets
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon wicked_one » Sa 22 Okt, 2011 14:29

Ja also meine größte Sorgen wenn mein Rechner Viren und Malwareverseucht ist, dass jemand weiss wieviel ich fürs Handyfonieren zahle.

scherz beiseite, einzig wenn ich meinen Privaten Internetzugang mit anderen Teile, weil ich meine Hotspot spielen zu müssen, ist das zu beachten...

und es ist abschaltbar, somit...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon _Riddik_ » Sa 22 Okt, 2011 17:00

Huhu,

Ja also meine größte Sorgen wenn mein Rechner Viren und Malwareverseucht ist, dass jemand weiss wieviel ich fürs Handyfonieren zahle.


Das ist aber auch schon fast das einzige was man damit machen kann.
Relevante Dinge muss man ohnehin mit Passwort nochmals bestätigen.

Mal abgesehen das das Auto Login nur mit den Daten vom Modem mit
dem man ins Internet geht verknüpft wird. Somit kann man "nur" über
den vorhandenen Anschluss auf die Seite zugreifen.
Und wenn jemand Viren, Trojaner und Malware auf seinen Rechner hütet.......
tja, dann ist das aber vermutlich das geringste seiner Probleme ;)

Und wenn jemand für seinen Betrieb einen Privat Zugang nimmt, ganz
grosses Entschuldigung, dann tut der mir aber nimmer leid - denn so
teuer sind die Business Anschlüsse auch nicht.

Als Privater hat man 1 oder 2 PC als Normalsterblicher zuhause und
wenn man echt wegen den Kindern Sorge hat ist es deaktivierbar -
wie schon in den Vorposts mitgeteilt.
Und AutoLogin gibts sogar bei Ebay und Paypal - von daher kann man
das wohl kaum als Sicherheitslücke bezeichnen.......

Lg

Riddik
_Riddik_
 

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon lordpeng » Sa 22 Okt, 2011 18:29

>Somit kann man "nur" über den vorhandenen Anschluss auf die Seite zugreifen.
das ist IMHO schon lang nimmer der fall (weder bei business- noch bei privat-produkten)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon _Riddik_ » Sa 22 Okt, 2011 20:03

das ist IMHO schon lang nimmer der fall (weder bei business- noch bei privat-produkten)


Sry, des hab i schlecht ausgedrückt. Man muss eben über den Anschluss
reingehen um automatisch angemeldet zu werden. Ansonsten muss
man sich schon mit den Zugangsdaten anmelden.

Lg

Riddik
_Riddik_
 

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon jutta » Mo 24 Okt, 2011 08:57

> einzig wenn ich meinen Privaten Internetzugang mit anderen Teile, weil ich meine Hotspot spielen zu müssen, ist das zu beachten...

das trifft zb auf alle menschen zu, die mit partner/in und oder kind(ern) zusammen leben, also nicht ganz wenige, egal ob per lan oder wlan. und: erklaer mal den kindern, dass sie nichts verstellen (oder bestellen) sollen :twisted:

> und es ist abschaltbar, somit...

das war es anfangs nicht und auch jetzt wird das feature offenbar nicht so kommuniziert, dass jeder frischgebackene a1-kunde weiss, wie er es ein/aus-schalten kann. als das autologin vor einigen jahren eingefuehrt wurde, konnte man vom kundenbereich aus auch noch so ziemlich alles ein- und umstellen und nicht bloss den traffic abrufen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon lordpeng » Mo 24 Okt, 2011 09:08

@jutta
du hast natürlich nicht unrecht, ABER wenn ich dran denk, wie mich der grossteil unserer kunden immer gross anschauen, wenn ich sie nach irgendwelchen zugangsdaten frag, dann find ich die funktion auf jedenfall sinnvoll, auch finde ich es sinnvoll, dass die funktion standardmässig aktiv ist, weil sonst würd sie wohl in 95 % aller fälle eh für die fisch sein, weils die wenigsten (zumindest die wo's sinnvoll wäre) bewusst aktivieren

btw. zumindest bei den mailboxen musste man sowieso die änderungen mit dem kennwort bestätigen (kA ob das immer noch der fall ist)

auf jedenfall wäre es jedoch sinnvoll, gross darauf hin zu weisen ... (eventuell mit einem verweis auf der monatsrechnung)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon jutta » Mo 24 Okt, 2011 09:35

> ABER wenn ich dran denk, wie mich der grossteil unserer kunden immer gross anschauen, wenn ich sie nach irgendwelchen zugangsdaten frag, dann find ich die funktion auf jedenfall sinnvoll,

andererseits: wenn sie die zugangsdaten taeglich oder auch nur alle paar wochen eintippen muessten, wuessten sie sie unter garantie auswendig oder haetten zumindest ein post-it ;) welche, die ich nie brauche, find ich im notfall auch nicht sofort
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Infoleak und Sicherheitslücke auf A1.net: Autologin

Beitragvon _Riddik_ » Mo 24 Okt, 2011 09:49

btw. zumindest bei den mailboxen musste man sowieso die änderungen mit dem kennwort bestätigen (kA ob das immer noch der fall ist)


Ist auf jeden Fall noch immer so.

auf jedenfall wäre es jedoch sinnvoll, gross darauf hin zu weisen ... (eventuell mit einem verweis auf der monatsrechnung)


full ack

andererseits: wenn sie die zugangsdaten taeglich oder auch nur alle paar wochen eintippen muessten, wuessten sie sie unter garantie auswendig oder haetten zumindest ein post-it


hmmm, nur wenn diese täglich einzugeben wären - ansonsten gehen die unter garantie verloren :rotfl:

Lg

Riddik
_Riddik_
 


Zurück zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], Yandex [Crawler] und 62 Gäste