Sicherheitslücke in der David-Verwaltung. Unbedingt Passwort der Site-ID bei eigenen Installationen und bei allen Kunden ändern!

Nachtrag: Bitte den Änderungsstand von 15:33 MEZ (weiter unten) beachten.

Es gibt leider eine gravierende Sicherheitslücke in der David-Verwaltung.
Mit einem primitiven Einzeiler, der nur wenigen Klartext-Silben, einem Sonderzeichen und der Site-ID besteht, kann das Original-Passwort einer David Lizenzkarte ausgelesen werden, wenn diese Update-berechtigt ist.
Dieser String - als Internet-URL eingetragen - liefert sofort den gesamten Lizenzschlüssel.

Ursprünglich war diese Funktion nur ganz wenigen Entwicklern und Vertriebsmitarbeitern bekannt. Aber es spricht einiges dafür, dass die Kenntnis davon in unbefugte Hände gelangt ist.
Das hat zur Folge, dass diese Unbefugten nun ganz nach Belieben über die Seite http://david.tobit.net unter anderem die Fachhändler-Zuordnungen verändern können.
Dazu müssen sie nur die Site-ID kennen.
Die Kunden werden über die veränderte Fachhändler-Zuordnung nicht zu dem Zeitpunkt informiert, wo diese erfolgt.
Des weiteren können die Unbefugten ohne Kenntnis der Kunden unter anderem Update-Bestellungen und Site-Care-Bestellungen auslösen.
Heikel ist, dass die Unbefugten die Bank-Daten oder Kreditkarten-Daten der Kunden einsehen und nach Belieben verändern können.

Es besteht Handlungsbedarf dahingehend, dass jedes Original Site-ID Passwort geändert wird.

Dies ist nach Einloggen mit den Daten des Lizenzblatts (Site-ID = username, dritter Block der Lizenz = Originalkennwort) auf der Webseite http://www.tobit.com/ möglich. Rechts oben gibt es dazu das Feld "Anmelden".
Nach erfolgtem Login-Vorgang ist oben links der Menüpunkt "Stammdaten" zu finden. Diesen bitte anklicken und dann unten "Einstellungen" anklicken.
Danach können Sie ein neues Passwort vergeben.

Dieses neue Passwort sollte mindestens 10 Zeichen lang sein, nicht nur aus Kleinbuchstaben bestehen und idealerweise auch mindestens ein Sonderzeichen enthalten.
Nach dieser Änderung ist die Installation solange ausreichend sicher, bis der Kunde bei Tobit.Software ein Rücksetzen des Passworts auf den Auslieferungszustand anfordert.

Das Passwort der Site-ID wird auch in der Funktion Postman/Datenbanken/Auth Domain Namen verwendet. Bitte daran denken, das Passwort auch an dieser Stelle identisch zu ändern.

Arno

Zitat von kingcopy

und wann gedenkt Tobit alle Kunden darüber per Email zu informieren?

Das ist eigentlich nicht mehr erforderlich.
Aber der aktuelle Status gibt mir und meinen Kollegen eine gute Gelegenheit, mal wieder nett mit den Bestands-Kunden zu plauschen:
"Hallo, wie geht es denn so? Ich habe in den letzten Wochen so einiges mitbekommen wie den Stammdaten-Klau bei Adobe oder das Mitschneiden von eMails durch diverse Dienste. Da dachte ich, ich rufe Sie einfach mal an um mich zu erkundigen, ob Sie schon Ihr David Site-ID Kennwort geändert haben. ..."
--------------------------------------------------------------------
Geänderter Status 15.11.2013 / 15:33 MEZ: 
Die Fachhändler-Zuordnung lässt sich nicht mehr über david.tobit.net ändern. (KLASSE!)
Gemäß Info von der Fachhändler-Betreuung ist auch die Änderung des primitiven Strings zum Auslesen des Site-Care Passworts schon in Arbeit.

Unabhängig davon rate ich jedem Tobit-Kunden nach erfolgter Installation zur Änderung seines Site-ID Passworts.
Der dritte Block der Lizenzkarte ist als Passwort angesichts heutiger PC-Performance viel zu kurz als dass er nicht rasch gehackt werden könnte.

Zwar ist ein Hacken der Tobit-Datenbank so gut wie unmöglich.
Aber das zu Site-ID gehörende Passwort findet auch bei der David Auth Domain und darauf basierenden eMail-Weiterleitungen Verwendung.
Die zugehörigen Server laufen bei den Kunden, und sie sind nur so sicher wie die von den Kunden verwendeten Firewalls und Passwörter.
Schon allein aus diesem Grund sollte statt des Original-Passworts ein sicheres Site-ID Passwort verwendet werden.

Aktuelle Merkmale eines als sicher geltenden Passworts sind:
- mindestens 10 bis 12 Zeichen Wortlänge
- gemischte Gross- und Kleinschreibung [nicht erfüllbar, da das Passwort bei der Anmeldung zu tobit.com bis dato nicht case-sensitive ausgewertet wird]
- mindestens ein Sonderzeichen enthalten.
- der Begriff steht nicht im Lexikon oder im Duden
---------------------------------------------------------------------

Ich hoffe, dass die Änderung des sehr einfachen Passwort-Auslese-Strings bald effizient erfolgt.
Denn nach über 25 Jahren EDV-Praxis nehme ich zwar die Zeitersparnis im Vertrieb wahr, aber auch die sich daraus ergebenden Risiken.

Das Negativ-Beispiel Adobe bewies in den letzten Wochen einmal mehr, dass Vorsicht und Sorgfalt im Umgang mit Kundendaten wichtig sind.
Für Kunden und Partner ist die konsequente Verwendung sicherer Kennwörter ein wichtiger Schritt, um Datendieben die Arbeit zu erschweren.

Besten Dank für die Info, Herr Osterwohldt.

Dieses Rundschreiben vom November 2011 kenne ich. Damals habe ich das auch mehrfach erhalten.

Aber mir war damals gar nicht bewusst, dass sich mit dem aufgedruckten Link zu jedem beliebigen Produkt von Tobit.Software das Site-ID Passwort auslesen lässt.
Nach jetzt durchgeführten Tests gilt das auch für Hardwareprodukte wie die djukebox.
Es ist nur nötig die Site-ID zu kennen. Und schon gibt der Link nach Drücken der Enter-Taste das vom Hersteller vergebene Passwort an.
Selbiges lässt sich bei der djukebox nicht ändern. Bei David lässt sich immerhin das Passwort ändern.
Und diese Änderung sollte immer die erste Aktion nach erfolgter Installation oder nach erfolgtem Update sein.

Ich hoffe der Mitarbeiter der Partner-Betreuung hat sich nicht bei seinem mir gegenüber letzte Woche abgegebenen Versprechen zu weit aus dem Fenster gelehnt.
Der Passwort-anzeigende Link kursiert offen und darf nicht länger funktionsfähig sein. Eine diesbezügliche rasche Änderung war Inhalt des Versprechens.

Im übrigen empfehle ich jedem Unternehmer handschriftlich Logbuch zu führen über wichtige Telefonate. (Wann, mit wem telefoniert, Gesprächsthema). Dazu genügt eine A5-Kladde.
Uhrzeit, Dauer und Telefonnummer des Angerufenen lassen sich zudem automatisch dokumentieren, wenn die David TAPI eingesetzt wird.
Für weitere Infos ist das Notizen-Feld praktisch. Alternativ Eintrag öffnen und benötigten Memo-Text hineinschreiben.
Eine Regel auf ein Archiv Ausgang / Telefonate gesetzt und schon wird alles übersichtlich abgelegt.

Nur Kaffee kochen kann David immer noch nicht.

Kaarst, 04.12.2013
Ich wurde nun darüber in Kenntnis gesetzt, dass eine weitere Sicherheitslücke besteht.
Wer den Link auf dem Rundschreiben vom November 2011 und eine Site-ID kennt, der kann beim heutigen Stand auch das geänderte (!) Passwort der Site-ID in Klarschrift über ein ungesicherte (!) Internetseite sehen.
Das Rundschreiben ging ab Ahaus an praktisch jeden Update-berechtigten David-Kunden raus, dessen Adresse bekannt war.
Für die Anzeige des geänderten Passworts sind nur ein paar zusätzliche Klicks, aber keine weiteren Voraussetzungen nötig.

Damit hat Hinz und Kunz Zugriff auf sämtliche im TSSM eingegeben Daten, einschließlich Personalliste der Mitarbeiter sofern eingetragen!
Dies gilt zumindest für David. (Bei der djukebox gibt bis jetzt gar keine Möglichkeit zur Passwortänderung).
Online können ohne Wissen der Bestandskunden Verträge in deren Namen und ohne deren Kenntnis abgeschlossen, geändert oder aufgelöst werden!

Diese frei zugängliche Webseite trägt keinen Eintrag "Robots follow", aber auch keinen gegenteiligen.
Dem Vernehmen nach ist diese gravierende Sicherheitslücke einigen Mitarbeitern von Tobit.Software schon länger bekannt.
Sie zu schließen würde aber Mehrarbeit in der Abrechnung erfordern, daher bleibt sie offen.
So der Inhalt der erhaltenen mündlichen Mitteilung.
Meine Statusprüfung ergab, dass dem tatsächlich so ist. Auch das geänderte Passwort ist extern für Unbefugte lesbar.

I'm not amused.
Das hört sich für mich so an, als würden sich einige der Tobit-Mitarbeiter deutlich zulange in der hauseigenen Diskothek aufhalten.
Für meine djukebox, die ganz besonders leicht unbefugten Zugriff ermöglicht, habe ich daher folgenden Text ins InterCom geschrieben:

"Mit Befremden stelle ich fest, dass die Kontodaten in my.djukebox gelöscht waren, aber hier wieder unter Kontoverwaltung wieder auftauchen.

Aufgrund der bestehenden Sicherheitsmängel hinsichtlich Geheimhaltung von Stamm- und Bankdaten wünsche ich, dass meine in der Kontoverwaltung von Ihnen eingegebenen Daten gelöscht werden. Mir ist dies aufgrund des Istzustands des bestehenden Konto-Verwaltungssystems nicht möglich.

Für den von einem mir unbekannten Mitarbeiter der Tobit.Software AG vorgenommenen Eintrag der Sepa-Nummern habe ich keinerlei Genehmigung erteilt."

Als weiteres habe ich habe versucht, mit dem Datenschutzbeauftragten der Tobit.Software AG Kontakt aufzunehmen.
Bin gespannt wie lange es dauert bis der Kontakt zustande kommt und was dabei heraus kommt.

Bis jetzt habe ich die Frage der Kunden steht mit JA beantwortet wenn es sich darum ging, ob die via TSSM/ Kontoverwaltung eingegebenen Daten bei Tobit ausreichend sicher sein.
Aber angesichts des heutigen Kenntnisstands und unter Berücksichtigung meiner zeitweisenden Tätigkeit als Gutachter
kann, darf und werde ich diese Kundenfrage nicht mehr bejahen. Zumindest nicht solange die jetzigen Sicherheitsmängel bestehen.

Ceterum censeo:
Es bestätigt sich immer wieder der alte Management-Grundsatz:
Mache Dich niemals von einem Lieferanten abhängig!
Achte immer darauf, dass es bei Bedarf Ersatz gibt.