Datensicherheit in oklahoma

Der folgende text ist nicht von mir, sondern die auszugsweise übelsetzung eines textes von WTF. Die darin beschriebenen zustände sind durchaus typisch für schlampig programmierte anwendungen. Was es für den betroffenen einzelnen bedeuten kann, wenn sein datensatz durch eine sehr einfache manipulazjon verändert wird, kann sich angesichts des gegenwärtigen technokratischen wahnsinnes wohl jeder vorstellen.

Ab jetzt meine teilweise übelsetzung.

Oklahoma legte zehntausende sozjalversicherungsnummern und andere sensitive daten offen

Eine der grundregeln der kompjuterprogrammierung besagt, dass man den eingaben niemals trauen sollte. Dies gilt in besonderer weise, wenn diese eingaben von benutzern kommen, und noch viel mehr, wenn sie aus einer anonymen, allgemeinen öffentlichkeit stammen. Wie es scheint, haben die entwickler in oklahomas abteilung für korrekturen an diesem unterrichtstag geschlafen, und darüber hinaus auch allen gesunden menschenverstand in den wind geschlagen. Es ist nicht nur so, dass den benutzereingaben auf der öffentlich sichtbaren webseit blind vertraut wurde, nein, sie wurden auch noch blind ausgeführt und jedes so erhaltene ergebnis wurde angezeigt.

Als ergebnis dieser unsäglich schlechten programmierung entstanden sehr ernste konsekwenzen: die namen, adressen, sozjalversicherungsnummern von zehntausenden einwohnern oklahomas wurden über einen zeitraum von drei jahren hinweg für jeden öffentlich zugänglich gemacht. Bis gestern, den 13. april 2008, konnte jeder mit einem web-brauser und den kenntnissen aus dem ersten kapitel von „SQL für dummies“ leicht an diese daten gelangen – und sie möglicherweise auch verändern. Ich benötigte eine ganze minute, um herauszukriegen, wie man 10597 vollständige datensätze über die webseit der abteilung für korrekturen herunterlädt.

Wie der titel des letzten bildschirmfotos zeigt, wurden diese datensätze durch das staatliche „register für sexuell und gewalttätig provozierende menschen“ verfügbar gemacht. […]

Der ganze rest der geschichte wird noch haarsträubender. Die URL für die gewöhnliche anzeige enthielt eine vollständige SQL-anweisung, es war ohne weiteres möglich, hier eine andere abfrage zu übergeben. Nachdem der behörde mitteilung gegeben wurde, ging die website eine zeitlang offlein. Und als sie wieder onlein ging, konnte über diesen trick nicht mehr die sozjalversicherungsnummer angezeigt werden. Dies ließ sich allerdings leicht umgehen, da sich in der entsprechenden spalte in der datenbank nur eines geändert hatte: sie begann nun mit einem großbuchstaben. Was für ein zugewinn an sicherheit! Ich will nur noch kotzen, wenn ich sehe, was man dortens für „experten“ beschäftigt. Erst auf energischen hinweis auf den vollen umfang dieses loches wurde abhilfe geschaffen und die wirklich schäbig programmierte webseit verschwand endgültig.

Vielleicht sollten die dort einmal programmierer einstellen, die etwas von ihrem beruf verstehen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.