Lonesome Walker

Bevor ich mich jetzt in Details verliere:

es gibt gute PHP-Programmierer, und es gibt eben welche, die einfach nur PHP programmieren…
es gibt gute Server-Admins, und es gibt welche, die einfach nur den Knopf drücken können…

Ich meine: wer auf einem Produktiv-System, auf dem sensible Daten gehostet sind, directory listing angeschaltet hat, der hat den Schuss noch immer nicht gehört…

(achtung, das untere ist die phpinfo… mit 4,5 MB bisschen längere Ladezeit…)

Und wer Datenbank-Fehlermeldungen nicht ordentlich abfängt und trackt, der sollte auch gleich daheim bleiben.

Ich habe leider noch keinen fähigen Anwalt gefunden, der mich vertreten kann (Thema Datenschutz), aber im Online-Bereich ist die Verjährungsfrist ja mit 3 Jahren lange genug…

Ich habe ja erst in meinem letzten Beitrag über experto.de berichtet.
Dort wurde dann auch endlich gehandelt, und die Seite kurzfristig offline gesetzt.

Okay, kann man jetzt sehen wie man mag, ob menschlich korrekt von mir oder nicht, Fakt ist aber:

Das Leck existiert noch immer!

Ich war wieder einmal so freundlich, eine Frist zur Behebung von 24 Stunden zu setzen, danach werde ich wieder eine Rundmail an alle betroffenen User senden.
Ich finde es besonders dreist, Datenschutz-Verletzungen als Kavaliersdelikt abzutun.

Ja, ich habe gehört, es hat sich personell etwas in deren IT-Abteilung getan, leider muß ich sagen, nicht zu deren Vorteil.

Wie wenn der Ruf der IT-Fachleute nicht schon schlecht genug ist…

Bereits letztes Jahr im Juli habe ich Kontakt mit experto.de aufgenommen, da mir etwas aufgefallen ist, was so nicht sein sollte/darf.
Damals hat der Support schon träge reagiert, aber er hat wenigstens reagiert.

Jetzt ist es so, daß ich am 13.01.09 auf XING ins Experto-Forum einen Hinweis an die User geschrieben habe, denn experto.de hat einige Sicherheitslücken, und die Privatdaten der User sind alles andere als unter Verschluß.

Das war vor 1 Woche.
Ich habe mit dem Verantwortlichen gesprochen, und es wurde Verbesserung versprochen.

Nun, ich kann nur sagen, Stand heute, 21.01.2009 14:40 Uhr, dem ist nicht so.

Daher bitte ich alle User, das vorhandene Passwort auf dieser Plattform UMGEHEND auf ein belangloses Kennwort zurückzusetzen, und ebenfalls die persönlichen Daten aus dem Profil zu entfernen.

Warum?
Man hat doch nichts zu verheimlichen…?

DOCH!
Seine Identität!

Ich wette hier einen Kasten Bier für jeden User auf experto.de, daß die Daten, an die man als normales Script-Kiddie im Moment dran kommt, ausreichen, um mehr als 100 Identitäten zu übernehmen.
Leute, die mich kennen, wissen, daß die Aussagen, die ich öffentlich treffe, bullet-proof sind, und ich diesbzgl. auch Beweise liefern kann.