Die Webeffekt AG teilt in einer Pressemitteilung mit, eine Schwachstelle im etracker-System gefunden zu haben. Angeblich soll es möglich sein, einfach durch einen Klick auf ein Suchergebnis bei Google (durch Suche nach site:www.etracker.de) Statistikdaten von etracker-Kunden einsehen zu können. Die Google-Suche nach “site:www.example.com” zeigt normalerweise alle von Google unter dieser Domain indexierten Dokumente - von Webmastern gern verwendet um die Indexierung der eigenen Website zu überprüfen.

Bei einer Stichprobe der Suche nach site:www.etracker.de kann jeder die Ergebnisse nachvollziehen. Ich fand sowohl Logins von “etracker free” Konten (hier ein Beispiel) als auch auf Bezahl-Konten (Beispiel), deren Zugang aber soweit eingeschränkt ist, das keine Einstellungsänderungen möglich sind (Zahlungsdaten etc.) - offensichtlich also vom Kunden zur Einsicht freigegeben …

etracker wehrt sich also gegen diese Vorwürfe und behauptet seinerseits, dass lediglich die Daten von Kunden aus dem Service “etracker Free” und von Bezahlkunden bewusst zugängliche Kundendaten eingesehen werden können. In der Tat ist es für etracker Kunden möglich, Statistikdaten ganz oder vollständig zu veröffentlichen. Was für Webmaster von werbetreibenden Seiten eine gute Referenz darstellt (Einsicht für potentielle Werbekunden in glaubhafte Statistiken) könnte jedoch für andere etracker Kunden einen echten Schaden bedeuten - wenn z.B. Wettbewerber oder böswillige Dritte Einsicht in diese Daten bekämen.

Im Forum von Webeffekt diskutiert zumindest der Vorstand Robert Biermann mit sich selbst über die angebliche Sicherheitslücke - nach Darstellungen von etracker wurden deren Beiträge dazu einfach aus dem Forum gelöscht.

Es wird sich rausstellen, ob die Mädels von Webeffekt da nur etwas nicht verstanden haben und die Meldung als PR-Kampagne benutzen um auf ihren Service zu verweisen, der im Wettbewerb zu etracker steht und in der Bekanntheit deutlich hinter etracker liegt - um es mal betont vorsichtig zu sagen- oder etracker tatsächlich eine derartig scheunentorgrosse und offensichtliche Lücke fabriziert hat.

Die Argumentation von Webeffekt stellt sich für mich zumindest als unsauber recherchiert dar, vermutlich haben die Webeffekt-Leute noch keinen Account Ihres Wettbewerbers selbst genutzt: etracker ist KEINE Logfileanalyse, die Kunden von etracker Free WISSEN, dass ihre Daten als Gegenleistung für den kostenlosen Service von jedermann einzusehen sind, jeder Bezahlkunde kann entscheiden, ob und welche Daten öffentlich sind usw. Letztendlich wäre es beiden anzuraten, eine beweisgeführte Klärung herbeizuführen, denn ohne dies ist alles nur Spekulation.

Mein Tipp folgt dem Motto “Wer keine Ahnung hat, einfach mal die Fresse halten.”: Webeffekt wird - im für sie besten Fall - irgendwann kleinlaut den Schwanz einziehen (wenn sie die etracker-Services verstanden haben) oder vom Gericht aufgeklärt und zu Schadenersatz verdonnert.

Was bisher allerdings noch nicht zur Sprache gekommen ist: etracker stellt seinen Kunden einen Link zur Verfügung (beinhaltet die Kundennummer und einen längere Zeichenkette, vermutlich ein verschlüsselter Passwort-Wert o.�.) der es gestattet, ohne weitere Authentifizierung von jedem Computer auf alle Daten und Einstellungen des etracker-Kontos zuzugreifen. Diese Praxis hielt ich schon immer für bedenklich und habe diesen Link gehütet, wie einen TAN-Block. Nur um diese Links geht es hier nicht, die sind im Internet zumindest auf Google noch nicht aufgetaucht ….

[Update]
Wer lesen kann ist klar im Vorteil: anscheinend ist doch ebenso ein Link zum automatischen Einloggen bei etracker aufgetaucht:
Zitat etracker news vom 27.01.06:
“Herr Biermann legt als “Beweis” für ein vermeintliches Sicherheitsleck eine URL vor, die in die Statistik des etracker Kunden newscXXXX.de f�hrt (Anm.:Kunden-URL gekürzt).
In der Tat ist über die besagte URL ein Vollzugriff auf die Statistikdaten des Kunden möglich. Bei der besagten URL handelt es sich nämlich um eine sog. Direct-Login URL. Diese URL kann jeder etracker Kunde erzeugen, um ohne Angabe von Login und Passwort direkten Zugriff auf seine Statistikdaten zu erhalten. Diese URL ist genauso geheim zu halten, wie Login und Passwort selbst. Wird eine solche URL veröffentlicht, so hat dies den gleichen Effekt, wie Login und Passwort zu veröffentlichen oder Dritten zugänglich zu machen. Genau dies ist im o.g. Fall geschehen und die Direct-Login URL wurde von Google indexiert und ermöglicht es so Dritten auf die Statistikdaten zuzugreifen.”

Webeffekt hat demnach die durch Unvorsicht oder Dummheit veröffentlichte “PIN und TAN” in eines etracker-Kontos gefunden … Vielleicht doch ein Grund für etracker, die Einlog-Prozedur etwas weniger bequem, dafür aber (idioten-)sicherer zu machen. Und wenn der Grund allein der ist, Wadenbeissern keine Angriffsfläche zu bieten …