Mir ist das nur ein einziges mal berichtet worden. Meine anmerkungen dazu deshalb als gerücht behandeln.
Jemand hat eine mäjhladresse bei posteo. (Nein, ich werde die identität weder preisgeben noch andeuten.) Da er noch ein paar mäjhladressen mehr hat, sich aber nicht immer bei allen möglichen mäjhlkonten einloggen will, um seine mäjhl zu lesen, nutzt er den bekwemen, von posteo angebotenen „sammeldienst“. Dieser meldet sich in regelmäßigen abständen bei anderen postfächern mit den bei posteo hinterlegten zugangsdaten für diese anderen konten an, schaut nach, ob dort neue mäjhl angekommen ist, holt diese ab und sortiert sie in das lokale posteo-postfach ein.
Dieser jemand hat am dienstag, den 8. juni, eine mäjhl von posteo erhalten, dass der „sammeldienst“ deaktiviert wurde, weil posteo sich wiederholt nicht einloggen konnte.
Daraufhin hat er sich die konfigurazjon des sammeldienstes angeschaut und festgestellt, dass das login-passwort für das externe mäjhlkonto falsch war. Es handelte sich nicht um das passwort für das abzurufende konto, sondern um das klartext-passwort für das posteo-konto.
Davor hat dieser „sammeldienst“ über einen langen zeitraum ohne derartige probleme funktioniert.
Tatü! Tata! 🚨️
Ich kann mir nur einen einzigen möglichen grund für so einen „fehler“ vorstellen:
- Posteo sollte seine nutzerpasswörter nur in gehäschter form speichern, nicht im klartext. Das ist elementare security-praxis.
- Das BRD-gesetz zur bestandsdatenauskunft verpflichtet mäjhlproweider, klartext-passwörter an BRD-polizeien und BRD-geheimdienste rauszugeben.
- Da posteo diese passwörter nicht hatte, hat sich posteo drangesetzt, die angegebenen passwörter nach einer erfolgreichen anmeldung zu speichern.
- Als dieses anti-sicherheits-funkzjonsmerkmal — vermutlich mit etwas zu heißer nadel, weil die staatsanvergewaltschaft vor der tür stand und bußgelder für verzögerungen androhte — gestrickt wurde, hat der progger, der damit gestraft war, die datenbank nicht vollständig verstanden und sein
UPDATE user_accounts SET password=%klartext_passwort% WHERE user_id=%id% eingefügt¹, der dann wegen eines nicht ganz koscheren datenbankdeseins mehr veränderte, als der programmierer eigentlich verändern wollte. Und so kam es zu dem fehler.
- (Ich kann natürlich nicht ausschließen, dass ein programmierer so einen fehler vorsätzlich macht, weil er anstand hat und will, dass die sache bemerkt wird. In diesem fall: danke! Du bist ein ehrenmann! Und frauen sind dabei mitgemeint. Ist grammatik.)
Mein schluss: mäjhlproweider aus der BRD sind allesamt nicht mehr vertrauenswürdig und geben nicht nur metadaten, sondern auch zugangsdaten an BRD-polizeien und BRD-geheimdienste weiter, ohne ihre nutzer darüber zu informieren. Posteo tut dies wohl seit dienstag, dem 8. juni 2021.
Diese kooperazjon ist mit einer klartext-speicherung von passwörtern in den datenbanken der mäjhlproweider verbunden. Oder anders gesagt: mit einem rückbau vernünftiger und bewährter grundlagen der kompjutersicherheit, die aus guten gründen seit den 1970er jahren standard sind.
Oder noch einmal anders gesagt: die gegenwärtige CSPDU-regierung unter Angela „bleierne raute“ Merkel zerstört mit ihren (technisch extrem inkompetenten) überwachungsgesetzen die grundlagen vertrauenswürdiger und sicherer informazjonstechnik und nötigt informazjonstechnischen unternehmen in der BRD eine reduzierung ihrer sicherheitsvorkehrungen auf. Den schaden davon haben nicht verbrecher, sondern alle menschen, die mäjhl für ihre private und geschäftliche kommunikazjon nutzen und im falle eines datenlecks (zum beispiel auch durch einen korrupten mitarbeiter bei posteo, der für eine handvoll geld ein paar daten rausträgt) völlig bloßgestellt werden.
Dass eine herausgabe von passwörtern beliebiges fälschen von kommunikazjon durch BRD-polizeien und BRD-geheimdienste ermöglicht und dass diese kommunikazjon anhand der logdateien nicht von kommunikazjonsakten des regulären nutzers unterschieden werden kann, sei nur nebenbei erwähnt. Wegen gefälschter beweise unschuldig im knast zu sitzen, ist ziemlich scheiße. Dieses möglichkeit wird den BRD-polizeien und BRD-geheimdiensten von unserer CSPDU-bummsregierung in die hände gedrückt. Klar, werter herr polizeibeamter, sie würden so etwas niemals tun. Aber selbst sie kennen den einen oder anderen kollegen, dem sie so etwas zutrauen, oder?! Man kann ja gar nicht dabei erwischt werden…
(Mir sind mehrere menschen mit BTM-vorstrafen persönlich bekannt, bei denen die beschlagnahmte kokainmenge viel größer war als die kokainmenge, die schließlich in der anklageschrift angegeben wurde. Natürlich hat da keiner vor gericht gesagt, dass er in wirklichkeit viel mehr hatte. Und wenn man als polizeibeamter nicht erwischt werden kann, dann hat das eben ein gewisses verführungspotenzjal.)
Ich kann nur noch davon abraten, einen mäjhlproweider aus der BRD zu nutzen.
Ach ja, und eines noch: diese „kleinigkeit“ ist nur aufgefallen, weil für jedes benutzerkonto andere passwörter benutzt wurden. Wer überall das gleiche passwort nutzt, kann diesen effekt gar nicht bemerken.
Natürlich sind tabellen- und spaltennamen hier nur geraten. Ich kenne das bei posteo verwendete datenbankschema und die dort verwendeten namenskonwenzjonen nicht. Aber im groben werden die tabellen so heißen.
Schwerdtfegr (beta) 