Sicherheitslücke: Passwörter werden per E-Mail versendet

  • Wenn man für das Customer Control Panel bei Netcup sein Passwort vergisst, wird einem – nach dem Klicken eines Links zum Zurücksetzen – ein neu generiertes in Plaintext per Mail zugeschickt. Ich weiß, dass die Passwörter vermutlich gehasht gespeichert werden (hierzu kann ich jedoch keine näheren Infos irgendwo finden), trotzdem sollte ein (vor allem dauerhaftes) Passwort nie in einer Mail stehen (1, 2). Dies ist eine erhebliche Sicherheitslücke und seit Jahrzehnten nicht mehr Stand der Technik! =O Könnt ihr das bitte bitte fixen?

  • Zitat

    Wie bereits im anderen Thread erwähnt... nein, wir können es nicht. Hierzu bitte den Netcup Support direkt kontaktieren. :)

    Ist mir bewusst, jedoch lesen ja hier auch Netcup-Mitarbeiter und sogar -Geschäftsführer mit. Bei so einem kritischen Thema hoffe ich da auf eine Reaktion... Den Support habe ich zu diesem Thema aber bereits auch kontaktiert und bisher keine wirkliche Antwort erhalten, nur das meine Meldung weitergeleitet würde.


    Außerdem heißt dieses Forum „Netcup intern“, mit dem Hinweis hier Verbesserungswünsche äußern zu können. Welchen Sinn würde es machen, diese nur gegenüber anderen Kunden äußern zu können.

  • trotzdem sollte ein (vor allem dauerhaftes) Passwort nie in einer Mail stehen

    das ist eigentlich unerheblich; bei sowas auch oft gängige Praxis, dass man dabei nur einen Link zugeschickt bekommt,

    auf den man dann klickt und da sein neues Passwort vergibt;


    die Sicherheitslücke ist hier nicht das Passwort im Mail, sondern das Konzept des Zurücksetzens in Self-Service-Manier ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    • Offizieller Beitrag

    Hi quassy ,


    wie mein Kollege Lars und ich schon auf Twitter geschrieben haben, ist des Thema mit dem Versand der Passwörter in Plaintext als Issue bereits bekannt und liegt bei der entsprechenden Abteilung. Wie es um die Priorisierung des Issues steht und wann es bearbeitet wird, kann ich nicht einsehen. Wir sind bemüht, unsere Services stets state-of-the-art zu halten und werden auch zeitnah das Thema Passwort-Reset bearbeiten. Lass mich nur nochmal betonen, weil ich es für wichtig halte an dieser Stelle: Wir speichern die Passwörter nicht im Klartext, sondern Hashed.


    Weil hier im Thread auch die Frage aufkam, wie das Forum zu verstehen ist, möchte ich kurz aufklären: Das netcup-Forum ist kein Support-Kanal. Es mag so wirken, weil wir – das Communication Team – im Falle als Moderator/innen in Erscheinung treten. Ich bitte aber um Verständnis, dass wir keine Support-Anfragen annehmen oder bearbeiten können. Es gibt verschiedene Türen zur netcup-Welt, um Anfragen nicht erst intern von einer Stelle zur nächsten zu tragen, empfehle ich direkt den Support anzuschreiben.


    Ich mag verstehen, dass diese Antwort nicht zu 100% zufriedenstellend ist. Leider sehe ich nicht, wie ich an dieser Stelle mehr geben kann. Sonst lasst es mich gerne wissen. Beste Grüße,

    Lucia

  • Vielleicht OT: Gibt es Pläne für ein Support Forum? Ich könnte mir vorstellen, dass den Support oft Fragen erreichen mit ähnlichem Inhalt. Könnte somit für beide Seiten von Vorteil sein.

    Gibt auch Positives zu berichten (Plaintext-Zugangsdatenversand ist seit >1½ Jahren bekannt): bei Plesk wird Vergesslichen eine eMail mit (hoffentlich zeitlich befristeten) Rücksetzungs-Link zugeschickt und dass Mitarbeiter*innen hier mitlesen/kommentieren, beruhigt mich persönlich (auch wenn der Ton trotzdem etwas direkter ist) Alle Kanäle zu bedienen ist sicher nicht einfach, da lob ich mir das Ticketingsystem um die Übersicht zu behalten (Sorry für die vielen eMails das Wochenende;)


    NetCup Plesk Password Reset.jpg