Login: 
Passwort: 
Neuanmeldung 
Passwort vergessen



Das neue Heft erscheint am 1. Mai
Fliegen ohne Flugleiter – wir warten auf ...
Eindrücke von der AERO 2024
Notlandung: Diesmal in echt!
Kontamination von Kraftstoffsystemen
Kölner Handling-Agenten scheitern mit Klage
Unfall: Verunglücktes Änderungsmanagement
Engagierter Journalismus aus Sicht des eigenen Cockpits
Engagierter Journalismus aus Sicht des eigenen Cockpits
Sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

23. März 2024 11:31 Uhr: Von Tobi K. an Wolff E. Bewertung: +2.00 [2]

Die Stümper haben es doch jetzt tatsächlich geschafft, einen fetten Security Incident zu verursachen, einschließlich der Veröffentlichung von jeder Menge personenbezogenen Daten wie Usernames und Passwörter (einschließlich meiner eigenen).

Bitte meldet euch dort nicht an, insbesondere nicht mit Zugangsdaten, die ihr auch woanders nutzt.

Ich habe gerade mal angerufen, Geschäftsführung ist am Wochenende "sowieso nicht erreichbar" und welcher Dienstleister die Seite verwaltet, weiß man auch nicht :-D

Für technisch interessierte: die Seite basiert auf Symfony (oder shopware, was wiederum auf Symfony basiert) und es hat jemand vermutlich versehentlich die Entwicklungsumgebung auf die Produktivumgebung veröffentlicht, was dafür sorgt, dass man sich in aller Seelen Ruhe die Sessions einschließlich personenbezogener Daten wie Nutzername und PW ansehen kann... Im Screenshot sieht man den Symfony Profiler, über den man jede Menge interessante Dinge abrufen kann. Mail an die Geschäftsführung ist raus, das wird interessant :-(


Attachments: 2

Image
Screenshot2..
..1.32.25.png
Not in slideshow.
Image
Screenshot2..
..1.32.25.png
Not in slideshow.
23. März 2024 11:43 Uhr: Von Wolff E. an Tobi K.

Von wem stammt die Software denn nun?
23. März 2024 11:45 Uhr: Von Tobi K. an Wolff E.

Ich hab mir das nicht im Detail angesehen, aber in jedem Fall wird eine Software basierend auf dem PHP-Framework Symfony genutzt. Es sind einige Shopware-Module geladen, denke es handelt sich um Shopware. Laut Impressum wird das Ganze gepflegt von ww.lottaleben.de
23. März 2024 11:45 Uhr: Von Theo Voss an Tobi K.

Ja, Katastrophe, hab mal ein paar Screenshots gemacht. Kannst dir alle Sessions mit Details angucken. Passwörter sind aber nicht Klartext.
23. März 2024 11:47 Uhr: Von Tobi K. an Theo Voss

Wenn du weißt wo, leider schon (es werden ja auch alle POST-Requests getracked... :-(

Der Symfony Profiler scheint auch anfällig für diverse Angriffe zu sein, vielleicht kannst du dir den IFR Slot direkt in die Datenbank eintragen. Die Datenbank-Zugangsdaten sind auch veröffentlicht, aber ich hoffe, dass die DB nicht "von außen" erreichbar ist.
23. März 2024 11:50 Uhr: Von Theo Voss an Tobi K.

Persönliche Daten wie E-Mail-Adressen, Namen, IPs, etc. sind öffentlich. Passwörter auch, jetzt gefunden. Was ein Skandal.
23. März 2024 12:17 Uhr: Von Theo Voss an Theo Voss

Hab das mal in einen sep. Thread gezogen, sonst sieht das hier wohl nicht jeder:

https://www.pilotundflugzeug.de/forum/2024,03,23,12,1443775

7 Beiträge Seite 1 von 1

 

Home
Impressum 		© 2004-2024 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 14.22.03
Zur mobilen Ansicht wechseln 		Seitenanfang

Aktuelle Diskussionen
-  20  +
Anmeldung Leserflyout 2024 – England, Schottland, Irland [3]
Erfahrungen und Tipps für das östliche Tchechien und Slowakei [2]
Der Flugleiter ist Geschichte – es lebe der Betriebsleiter! [10]
Forced Landing in the English countryside [24]
Video zum Fliegen ohne Flugleiter [210]
Erfahrungsbericht CB-IR Theorie nach neuem Syllabus in 2022 [43]
AERO2024 [46]
München Radar ... schwache Leistung [124]
Selber über den Atlantik zum AirVenture fliegen! Für den Rückflug sind noch Plätze frei! [1]
Fliegen in und um Danzig [4]
Verkaufe Aspen Evolution 1000 PFD [2]
FS 510 an G 1000 TXI betreiben [2]
Fliegen ohne Flugleiter ab November 22 - Rückzug NfL I 72/83 [129]
Flugplatzsoftware [9]
Gemeinsame Aktion der Verbände AOPA-Germany, DAeC und DULV [61]
Diverse Avionik nach Umbau zu verkaufen [1]
LJPZ und LYTV Tivat Planungsinfos [6]
Weiteres Urlaubsziel von RÜGEN aus [10]
Der Himmel über Frankfurt [125]
CTR deactivated, Flugplatz offen: IFR? [3]