Skip to content

Sicherheitslücke bei QYPE

Kabelfreak Ich hab mir einen Account bei QYPE gemacht, weil die Restaurantsuche in Google Maps die Wertungen von QYPE anzeigt und ich die Option haben wollte, da eventuell mal meine eigene Bewertung abliefern zu können. Zum Testen hab ich meinen Account erst mal auf quasi-unsichtbar geschaltet: ich hab nur meinen Kontakten erlaubt, mich zu sehen oder anzuschreiben, aber ich habe gar keine Kontakte. Trotzdem krieg ich seither jeden Morgen um Punkt vier eine Mail von wechselnden QYPE-Community-Managern, die mir ihre Unterstützung und ewige Freundschaft anbieten. Weil das nervt, hab ich QYPE angeschrieben:

Hey,

I want to report a security issue in your system.

I have no contacts, I have set my account so it's only visible to those (non-existing) contacts and so only my (non-existing) contacts can send messages to me.

Yet I have received three mails in the past four days, all claiming to be from "members of the UK community team".

I am sure this must be a bug or a security breach on your side, since real members of your community teams would certainly honor my account settings and my wish for privacy. Also, if they were real persons from your team, they would probably not be in the habit of sending all their mail at precisely 2:00 am (UK local time) in the morning.

Regards,
Marc


Mal sehen, wieviel Humor der QYPE-Support hat.

Nachtrag, 1. Juni 2011: QYPE hat geantwortet:

Hi Marc,

Thanks for your message. We can assure you that those messages are from genuine members of the Qype team – they are automated and sent to all new members of the Qype community, intended as a welcome.

But thanks for your feedback. We will look into ensuring that these messages appear to be more genuine in the future.

Kind regards,

The Qype Team


"appear to be more genuine" ist so herrlich zweideutig — ja, der QYPE-Support hat Humor!

Dankeschön, Sony!

KabelfreakSchwarzseherSpielkind PSN h4x0r3d. Kundendaten, Kreditkarteninformationen, alles in freier Wildbahn. IHR STÜMPER!

"Ja, das kommt zur Zeit gehäuft vor, dass Kunden der Firma Sony ihre Karte sperren lassen wollen. Ich lasse Ihnen eine neue zuschicken, die ist etwa in einer Woche in Ihrem Briefkasten. Ich wünsche noch einen schönen Abend."


Nachtrag, 17. Mai 2011: Den folgenden Kommentar zu "Details zum “Willkommen Zurück” Programm für SCEE User" (fehlende Bindestriche: sic!) hat die Moderation des Playstation-Blogs nicht freigeschaltet (…und ich habe Verständnis dafür, dass viele Mitbürger das als "Zensur" bezeichnen würden, aber es handelt sich natürlich nur um "zensurähnliche Zustände"), was mich zu der Vermutung bringt, dass so viele negative Kommentare eingehen, dass nur ein Bruchteil davon freigeschaltet wird, damit die versöhnlicheren Kommentare nicht gänzlich untergehen:

"Na, das ist doch mal eine angemessene Entschädigung dafür, dass Sony meine Daten in der Welt verteilt hat. Ein paar Uralt-Spiele werden natürlich jeden Schaden ausgleichen, der bereits entstanden ist und noch entstehen wird. Besonders dankbar bin ich der Sony-Geschäftsleitung dafür, dass sie uns nicht auf einen Schlag mit der nackten Wahrheit konfrontiert hat, sondern sie uns schön scheibchenweise beigebracht hat. Schon dafür verdient Sony in Zukunft mein ungetrübtes Vertrauen."


Die einzige Form der Wiedergutmachung, die demonstrieren würde, dass Sony tatsächlich was verstanden hat, wäre die Reaktivierung von "Other OS".

SMS-Datenmüll

Kabelfreak Damals, als das Radio noch aus dem Äther kam (statt aus dem Internet), und bevor es den vollautomatischen Sendersuchlauf gab, hatten Radios noch fette Drehregler, mit denen man die Sender manuell suchen musste. Mein Haussender, der Saarländische Rundfunk, war am besten "ganz links" zu empfangen, auf UKW 88,0 MHz. Links davon gab's nix mehr. Außer manchmal. Manchmal gab's da seltsame Piepsgeräusche zu hören. Oder Stimmen, die Zahlenkolonnen vorlasen. Das war angeblich der Russe, der uns ausspioniert hatte und seine Ergebnisse nach Hause funkte.

In den letzten Tagen haben mich zwei Kurznachrichten erreicht, die mich daran denken ließen. Eine angeblich aus Lesotho, eine aus Indien:

SMS aus Lesotho
Kryptische SMS aus Lesotho

SMS aus Indien
Kryptische SMS aus Indien


Ob das wohl Russen sind, die nach Hause funken wollten, sich aber verwählt haben? Oder produziert die Telekom in ihrem SMSC einfach Base64-artigen Datenmüll mit falschen Absendern? Ich bin gespannt, ob davon noch mehr kommen.

Logitech-Fanboi

KabelfreakSpielkind Nachdem ich mich ja kürzlich über die Schlipsträger bei Sony aufgeregt hab, die mir (zumindest temporär) jeden Spaß am Spielen versauen können, indem sie mich alle paar Wochen zwingen, zig Seiten lange Nutzungsbedingungen zu "akzeptieren" — ich bin ziemlich sicher, dass ich Sony bereits meinen erstgeborenen Sohn verpfändet und das ius primae noctis für alle meine Töchter übertragen habe — muss ich mich zur Abwechslung über Logitech auslassen.

Ich benutze seit über zehn Jahren nur noch Logitech-Mäuse und die halten, trotz meines atypischen Nutzerverhaltens, immer jahrelang, mit dem Logitech-Lenkrad hab ich in GT3 zigtausend Kilometer zurückgelegt (und ich wette, dass nicht Logitech, sondern Sony dran schuld ist, dass es von vielen PS3-Spielen nur im Kompatibilitätsmodus erkannt wird) und eine Harmony One hat vor einer Weile die alte Universalfernbedienung (Kameleon) abgelöst. Nur die Logitech-Tastaturen kann ich nicht leiden, die sind nicht kettenrauchertauglich.

Logitech bietet seit vielen Jahren eine Reihe von stationären Audio-Playern an (sowas nennt man wohl, zumindest bei Amazon, auch "Internet-Radio"), früher als Slimirgendwas, jetzt unter der Bezeichnung Squeezebox, Preislage so €150-300, mit einem Ausreißer auf €2000 für ein High-End-Modell. Ich hab ewig die dazugehörige Serversoftware benutzt: der Squeezebox Server (früher: Slimserver) ist ein extrem aufbohrfähiger Perl/LUA-Mediaserver, der mit meiner relativ reichhaltigen Musiksammlung vernünftig umgeht, auf Debian reibungslos läuft und dessen Web/Java-Frontend mit jedem OS hier spielt.

Die Slim/Squeeze-Hardware hat mich bis vor kurzem gar nicht interessiert, die hatte so ein trockenes Stereoanlagenkomponentenflair. Bei dem neuesten Modell konnte ich aber nicht widerstehen: die Squeezebox Touch ist total niedlich und bunt, kann sich als langweiliger Digitalwecker tarnen, spielt alle Audio-Formate, die sich so über die Jahre ansammeln, sie hat Fast Ethernet (und 802.11g, aber wer will das schon bei einem stationären Gerät…), es läuft natürlich ein Linux drauf und sie spricht SSH.

Und das folgende war das erste, was ich gesehen hab, als ich mich zum ersten Mal auf der Squeezebox Touch eingeloggt hab:

bong:~# ssh 192.168.1.23
root@192.168.1.23's password:

This network device is for authorized use only. Unauthorized or improper use
of this system may result in you hearing very bad music. If you do not consent
to these terms, LOG OFF IMMEDIATELY.


Sowas kommt dabei raus, wenn in einer Firma nicht genug Anwälte und Marketingfritzen arbeiten um jedwede Kommunikation mit dem Kunden in das typische Korsett aus schleimiger Kundenverarsche und juristischen Drohungen zu pressen. Da hüpft mein Nerdherz. Logitech, ich bin jetzt offiziell Euer Fanboi.

Standard disclaimer: Ich hab keine Logitechaktien und bin in keiner Weise mit der Firma verbandelt. Und ich kann nur hoffen, dass nicht morgen rauskommt, dass Logitech seine Produkte von genitalverstümmelten Kindern in einer PCB-verseuchten Fabrik im Nigerdelta fertigen lässt, als Rohstoffe Blutdiamanten, Javanashornelfenbein und Gorillaleder verwendet oder ein Konto bei der Deutschen Bank führt.