Sicherheitslücke für Spam-Mails geschlossen!

Posted on by Carsten Henkelmann
Leider hat es uns auch mal erwischt, etliche User haben Spam-Mails bekommen, wo die Email-Adressen scheinbar aus dem Musik-Sammler.de System entnommen wurden.
Entwarnung vorab: es sind keine Email-Adressen von Musik-Sammler.de gestohlen worden!

Erklärung: es gab eine Funktion, mit der man anderen Mitgliedern eine Email schreiben kann. Die Programmierung dahinter ist allerdings uralt, mit eine der ältesten im System. Die war leider nach außen offen, d.h. man musste nicht zwingend eingeloggt sein. Die brauchte als Parameter aber nur die ID des Empfänger sowie weitere Daten wie Betreff und den eigentlichen Text.

Die Spammer haben irgendwie das Script entdeckt, das Schema dahinter erkannt und dann wahrscheinlich in einer Schleife nur IDs hochgezählt und immer die gleiche Email versendet. Das muss auch über dies Script gelaufen sein, weil alle gemeldeten Spam-Mails ein „User-Mail von …“ im Betreff hatten. Dieser Betreff kommt nur über dieses eine Skript.

Das Script wurde kurzerhand einfach komplett deaktiviert, darüber kann jetzt nichts mehr versendet werden. Und wie gesagt, die MS Datenbank wurde NICHT gehackt!

Sorry für den Ärger!