Sicherheitsrisiko durch verwaiste Accounts von Joomla-Notdienst

    Joomla Version
    Nicht relevant
    PHP Version
    Unbekannt
    Hoster
    Nicht relevant

    Moin

    Vor einiger Zeit hatte ich nach dem Verbleib von Chris (Joomla Notdienst) gefragt, konnte jedoch leider keinen direkten Kontakt herstellen. Zwar scheint das Gewerbe noch zu existieren, allerdings habe ich keine Möglichkeit gefunden, vorab mit ihm zu sprechen.

    Der Grund für meine Suche war ein gravierendes Problem im Zusammenhang mit von ihm genutzten Accounts. Dabei geht es ausdrücklich nicht um Nachlässigkeit oder ein persönliches Fehlverhalten, sondern um ein generelles Sicherheitsrisiko durch verwaiste Super-User-Accounts.

    Bei meinen Kunden bin ich wiederholt auf Accounts von Chris gestoßen – stets mit identischem Benutzernamen und derselben verknüpften E-Mail-Adresse. Irgendwann fiel mir auf, dass die von Chris genutzten Domains nicht mehr registriert waren. Daraus ergab sich eine unschöne Erkenntnis, was damit theoretisch möglich gewesen wäre.

    Kurzfassung:
    Jeder hätte diese Domains neu registrieren, die zugehörigen Postfächer anlegen und darüber Passwort-Resets für die verknüpften Joomla-Seiten durchführen können – und hätte damit valide Super-User-Zugänge einer vertrauenswürdigen Person erhalten. Ganz ohne Hack, ohne technisches Spezialwissen und ohne nennenswerten Aufwand.
    Da Chris über viele Jahre aktiv war, dürfte es sich um mehrere hundert betroffene Kunden handeln. Im Rahmen meiner Recherche bin ich zudem auf eine Agentur gestoßen, die allein z.B. über 1.000 Joomla-Installationen betreut und bei der er regelmäßig als Dienstleister tätig war.

    Wie gesagt: Dieses Problem ist nicht auf Chris beschränkt, es ist mir dort lediglich erstmals aufgefallen. Ich habe SniperSister in diesem Zusammenhang darauf angesprochen und angeregt, in Joomla eine Funktion zu schaffen, die zusätzlich angelegte Super-User- bzw. Administrator-Accounts ohne Zwei-Faktor-Authentifizierung nach einem Jahr Inaktivität automatisch deaktiviert – beispielsweise über eine neue „Geplante Aufgabe“, die per Update ausgeliefert werden könnte. Das von mir skizzierte Szenario wurde jedoch offenbar nicht als ausreichend kritisch eingeschätzt.

    Als Sofortmaßnahme habe ich die Domain joomla-notdienst.de zunächst selbst registriert, um die Möglichkeit von Passwort-Resets zu unterbinden. Da ich die Domain jedoch nicht dauerhaft behalten möchte, werde ich sie nach Ablauf (voraussichtlich im September dieses Jahres) wieder freigeben.

    Meine Bitte an Euch ist daher, auf den von Euch betreuten Seiten gezielt nach einem Account von Chris zu suchen, die jeweiligen Seitenbetreiber zu informieren und den Account zu entfernen bzw. zu löschen. (Benutzername "Joomla Notdienst" oder "Amarok", eMail endet auf @joomla-notdienst.de)

    Mit der Information an Euch sowie an David (inklusive eines möglichen Lösungsvorschlags) und der temporären Registrierung der potenziellen „Tatwaffe“ als Notmaßnahme sehe ich meinen Teil in dieser Angelegenheit als erledigt an.

    Ich hoffe Chris geht es gut und wir bekommen von ihm eventuell doch noch ein kleines Lebenszeichen.

    Gruß Jan

    PS: Genau genommen betrifft dieses Problem alle CMS, bei denen externe Dienstleister tätig sind, die ihre Arbeit irgendwann einstellen oder nicht mehr erreichbar sind.

    Hallo!

    Du sprichst da ein allgemeines Problem an, welches leider von Kunden oft nicht beachtet wird. Viele Kunden arbeiten ja mit Technikpartnern zusammen, die sich dann eigene Zugänge einrichten. Sei es zur Hostingverwaltung, FTP, Script-Backends usw. Wenn die Techniker nicht mehr zuständig sind bleiben die Zugänge meist bestehen. Insbesondere wenn ein Kunde diese Zugänge gar nicht kennt oder damit umgehen kann.

    Selbst wenn der Technikpartner noch "lebt" ist, aber nicht mehr zuständig ist, gibt es ja das Sicherheitsproblem, das jemand einen unberechtigten Zugriff hat. Das erleben wir leider laufend in unserem Geschäft als Hoster. Immer wenn Kunden uns neue Technikpartner mitteilen, fragen wir nach der Aktualität alter Partner. Fast immer lautet die ...nee, der ist nicht mehr zuständig... aber niemand hat seine Zugänge entfernt und von sich aus hätten Kunden das meist nicht mitgeteilt.

    Hier greift die Eigenverantwortung eines Kunden, niemand anderes kann das vollumfänglich einsehen und beurteilen.

    Das mit Chris in Verbindung mit Joomla ist sicher kein Einzelfall, aber hier in der Community natürlich von besonderer Bedeutung. Wir hatten Chris lange auf unserer Partnerliste und er war Technikpartner bei sehr vielen Kunden. Als wir keinen Kontakt mehr hatten, wurde er von der Liste entfernt und die Kunden-Stammdaten durchsucht und seine Adresse entfernt, damit wir auf jeden Fall keine wichtigen Emails mehr an seine Adresse senden. Wenn Chris jedoch ohne unsere Kenntnis irgendwo eingetragen ist, können wir das unmöglich finden.

    Das Du die Domain nun übernommen ist ist eine gute Idee!

    Moin Flotte

    Vielen Dank, bei diesem Thema können wir definitiv nicht streiten. Habe irgendwann damit begonnen alle Accounts von Kunden (wo möglich) für mich mit einem zweiten Faktor (Yubikey) zu sichern. Selbst wenn meine Domains mal irgendwann nicht mehr sein sollten, kann niemand etwas damit anfangen. Und die Zugangsdaten für Hosting usw. liegen in einem verschlüsselten Container auf der eh verschlüsselten Festplatte.

    Manche Kunden haben mir von sich aus Zugangsdaten auf die jeweilige Seite gesendet, die mit einem Postfach bei denen selbst verknüpft waren. Eine äußerst praktikable Möglichkeit muss ich sagen. Da ich normalerweise keine Passwörter zurücksetzen muss, stört es mich auch nicht. Sollte mein Account irgendwann deaktiviert werden, kann auch hier nichts passieren.

    Das ich mich automatisch von den Hostern bei Kundenbelangen mit informieren lasse, kommt bei mir allerdings nicht vor. Klar, Zugangsdaten bekomme ich oft als Kopie wenn es Kunden bei der Bestellung explizit mit angegeben haben, aber danach nichts mehr. Würde mich auch stören wenn bei jedem Tarifwechsel oder jeder Speicherplatzüberschreibung mein Ticketsystem Alarm schlägt. :D

    Gruß Jan

    Ist schon RTC und wird dann ab 6.1 drin sein: https://github.com/joomla/joomla-cms/pull/46248
    Damit kannst du nun endlich auch Super Benutzern das setzen. Danke an zero24 an der Stelle.

    Zur Domain. Wir haben mit dem J and Beyond e.V. die Möglichkeit die Domain zu maintainen.
    Das haben wir in der Vergangenheit schon mit der einen oder anderen verwaisten Domain gemacht. Meld dich gerne direkt bei mir.

    Danke für das Beschreiben des Szenarios. Das sollte man immer im Kopf haben.
    Und ein Task Plugin sollte schnell umgesetzt sein. Ich freue mich auch, wenn du das für den Core in 6.1 vorschlägst.

    Stefan Wendhausen - Joomla! Expert

    Release Manager Joomla! 6.1, Team Leader Joomla! Release Team, Team Leader Joomla! CMS (Core) Language Team

    Head of german translation team (jgerman) - Board Member JaB e.V. - Co-organisator german JoomlaDay™ - Co-organisator jandbeyond conference - Co-organisator german JoomlaCamp - Founder registered Joomla! User Group Nuremberg