Wieder ungesicherte Passwörter – bei SIPGATE

Wir hatten das Problem erst vor ein paar Tagen: ungeschützt abgelegte Passwörter. Nein, tut mir leid, für solche Fehler gibt es einfach keine Entschuldigung. Dieses Mal durfte ich erfahren, dass auch bei sipgate die Kundenkennwörter ungeschützt in der Datenbank verwahrt werden - und wieder einmal habe ich es dadurch erfahren, weil mir mein ursprüngliches Passwort zugeschickt wurde, als ich mich outete, ebendieses vergessen zu haben.

Es ist ja nicht mal nur, dass sie die Passwörter ungeschützt ablegen. Es nervt mich ja auch, dass sie diese dann auch noch über einen so unsicheren Kanal wie E-Mails an die Kunden weiterschicken. Der Satz "Sicherheitshalber empfehlen wir Ihnen, Ihr Passwort jetzt zu ändern." in der E-Mail hilft dann auch nur noch wenig.
Update:
Ich habe gestern Abend eine Reaktion von sipgate erhalten, darf diese wegen einer Vertraulichkeitsklausel jedoch nicht öffentlich nennen. Stattdessen wurde ich darum gebeten, mich an deren Pressestelle zu wenden, um eine öffentlich verwertbare Aussage zu bekommen. Die entsprechende Mail habe ich mit der Frage, ob das ein schlechter Scherz sei, wieder zurückgeschickt. Vielleicht renne ich denen noch hinterher und ziehe ihnen die Infos zweimal aus der Nase.
Update:
Jaja, lacht mich nur aus. Ich habe mich doch dazu breitschlagen lassen, die Presseabteilung selber anzuschreiben. Bin ja mal gespannt, was jetzt zurückkommt. Habe sie auch darauf angesprochen, ob es denn so schwer ist, dass der Support die Presseabteilung selber anschreibt. Aber wahrscheinlich will sipgate garnicht als eine zusammenhängende Firma verstanden werden - anders kann ich mir dieses lachhafte Verhalten jedenfalls nicht erklären. Ihr vielleicht?

Guten Tag,

da die Supportstelle Ihres Unternehmens anscheinend nicht in der Lage ist, ihre eigene Pressestelle direkt anzusprechen und damit nach außen als eine Firma aufzutreten, muss ich Sie nun wohl oder übel selber anschreiben.

Wie ich erfahren habe, speichert sipgate die Passwörter ihrer Kunden ungeschützt in ihrer Datenbank ab. Das ist dadurch erkennbar, dass einem, wenn man sein Kennwort vergessen hat, das selber definierte Passwort per E-Mail zugeschickt wird. Bei einer ordentlichen Sicherung mit einen Salted Hash wäre dies nicht möglich.

Vom Support habe ich nun erfahren, dass [...] und, dass [...]

Mein Frage ist nun, ob Sie mir freundlicherweise sagen könnten, ob [ich] diese Information - [...] - in einem Update meines Blog-Artikels verwursten kann. Ich kann diesen natürlich auch ohne Update stehen lassen, wenn Ihrer Firma diese Form des Marketings zusagt.

Abschließend bitte ich nochmal darum, dass Sie doch bitte Ihre interne Kommunikation verbessern. Es kann ja nicht so schwer sein, den unten angehängten Gesprächsverlauf an die Presseabteilung weiterzuleiten und darum zu bitten, einen Text für die öffentliche Verwendung zu formulieren.

Mit freundlichen Grüßen,
Kevin "Kenny" Niehage

Update:
Soderle. Nun habe ich auch ein offizielles Statement der Presseabteilung. Dass es soetwas wie "Salted Hashes" gibt und dass man mit ihnen Passwörter absichern kann, ist der Firma zumindest schon einmal bekannt. Diese werden bisher jedoch nur beim Business-Tarif namens "team" eingesetzt. Bei den Privatkunden-Tarifen "basic" und "plus" kann ich euch berichten, dass die Umsetzung der von mir angesprochene Verbesserung, Salted Hashes zu verwenden, "bereits im vollen Gange" ist.

Zudem wurde mir mitgeteilt, dass der Support sich vollkommen richtig verhalten hätte, mich an die Pressestelle zu verweisen. Das Herausführen der Kommunikationswege aus der eigenen Firma erachte ich persönlich trotzdem weiterhin als Fehler. In meinen Augen ist der Support von sipgate als sogenannter Focalpoint angedacht - warum sonst sollte deren Adresse direkt im Impressum angegeben sein? Wenn ich mich schon auf einen Focalpoint einlassen muss, dann erwarte ich persönlich jedoch auch, dass dieser mir als Single Point of Contact zur Verfügung steht und ich mich nicht separat an verschiedene Abteilungen wenden muss, um eine Information zu erhalten.
Unsichere Grüße, Kenny

8 Kommentare » Schreibe einen Kommentar

  1. Das scheint immer noch üblich und weit verbreitet zu sein.

    1&1 als einer der größten Provider speichert die Passwörter für das Kundencenter auch im Klartext. Das gilt für alle Dienste von 1&1, egal ob Webspace, Server, Backup, Mail, Telefonie oder Messaging.
    Ich war schwer erstaunt, als vor ein paar Wochen das Passwort per Mail bei mir ankam. Einen Tag danach wurde mein Webspace gehackt. Bestimmt Zufall.
    Ach ja, ich hatte das Passwort nicht angefordert.
    Der Support meint, das gehört so und wäre sicher...

    • Die haben doch nicht ernsthaft behauptet, dass das sicher wäre o.O ?! Ich war damals ja schon erstaunt, als Versatel meinte, dass die WEP-Sicherung der vorkonfigurierten WLAN-Router ausreiche (obwohl das ungebrandete Basisgerät auch WPA2 beherrscht hatte), aber dass der 1&1-Support behauptet, ungesicherte Passwörter in der Datenbank seien sicher, das ist schon echt hart.

      • Hier ist die Anwort von 1&1. Hab dann noch mal telefonisch nachgefragt und der Support-Mitarbeiter meinte, da wäre kein Risiko dabei.

        vielen Dank für Ihre E-Mail.

        Die Passwörter zum 1&1 Control-Center (https://login.1und1.de/) werden
        ausschließlich an die Kontakt E-Mail-Adresse oder hinterlegte
        Postanschrift versendet, der Versand an abweichende Adressen ist erst
        nach einer Datenänderung anhand eines entsprechenden Nachweises möglich.
        Der Rest der Passwörter kann im 1&1 Control-Center
        (https://login.1und1.de/) lediglich geändert, aber nicht eingesehen
        werden.

        Damit das Passwort zum 1&1 Control-Center (https://login.1und1.de/)
        zugesendet werden kann ist eine unverschlüsselte Speicherung in der
        Datenbank notwendig - dies ist aber nur an die beiden oben genannten
        Adressen (Kontakt E-Mail, Postanschrift) möglich.

        Freundliche Grüße

        Alexander Wolf
        Kundenservice 1&1 WebHosting

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.