Owl Content

Die Firma Ruf ist nach eigenen Angaben die Nummer 1 unter den deutschen Jugendreisen-Veranstalter. Auf ruf-jugendreisen.de gibt es eine dazu gehörige Community, in der sich die meist Jugendlichen Kunden vor und nach den Reisen austauschen können. Vor einer Woche erhielten wir detaillierte Informationen, wonach es in der Community zahlreiche kritische Sicherheitslücken gibt. Der Fall ist damit vergleichbar mit haefft.de, einer Schüler-Community, der vor wenigen Wochen vom Chaos Computer Club eklatante Sicherheitslücken nachgewiesen wurde.

Neben den üblichen XSS- und SQL-Injection-Lücken werden die Passwörter der jugendlichen Benutzer im Klartext in der Datenbank gespeichert, anstatt, wie üblich, gehasht zu werden. Unserer Quelle war es sogar möglich, alle Details von ca. 50000 Benutzerkonten auszulesen, auch das Lesen privater Nachrichten war möglich.

Unsere Quelle hatte ein Interesse, dass das Datenleck schnell behoben wird. Wir haben am Freitag das Unternehmen kontaktiert und ihm alle relevanten Informationen zur Schließung der Sicherheitslücken zu gesendet, inklusive einer Kopie ihrer Datenbank. In der Datenbank fanden sich zahlreiche personenbezogene Daten von Jugendlichen, wie Geburtsdatum, Mailadresse, Name, Vorname, Pseudonym, Webseite, Adresse und Passwort.

Die Firma Ruf reagierte sofort und nahm die Community noch in der Nacht zum Samstag vom Netz. Derzeit ist sie immer noch offline. Uns wurde auch erklärt, dass die uns zugespielten Nutzerdaten nicht mehr aktuell seien, sondern nur ein Backup älterer Datenbestände seien.

Ruf erklärte uns nun, dass beim Eindringen in ihren Server “in großem Umfang Daten manipuliert wurden” und ihnen “somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde”. Man gehe davon aus, dass unsere Quelle dafür verantwortlich ist und ihre Anwälte ihnen nahe gelegt haben, Strafanzeige zu stellen. Wir versuchen nun zwischen unserer Quelle und Ruf zu vermitteln. Vor allem klingt der Vorwurf etwas absurd, dass unsere Quelle erstmal massiv Schaden anrichtet und dann detailliert Fehler und Sicherheitslücken beschreibt und über uns den Kontakt zu Ruf sucht, damit diese endlich mal ihre Community sicherer machen. Nach Durchsicht aller Sicherheitslücken sieht es danach aus, als sei die Community-Plattform mit einem Schweizer Käse vergleichbar, der zahlreiche dicke Löcher hat. Man kann davon ausgehen, dass schon früher andere Personen die recht offensichtlichen Sicherheitslücken genutzt haben.

Passend ist auch der Datenschutz-Hinweis auf der Webseite:

Bei uns sind deine Daten sicher!

Wir garantieren, das wir keine Daten, die ihr über die Website ruf.de eingebt, an Dritte weitergeben werden. Die Daten, die ihr bei der Registrierung eingebt, werden ausschließlich für die Nutzung der Angebote unter ruf.de benötigt und auch nur dazu gespeichert.

Wir berichten über die weiteren Entwicklungen und gehen davon aus, dass Ruf die Vorwürfe gegen unsere Quelle zurück nimmt. Der Datenschutz der zumeist jugendlichen Kunden von Ruf konnte erst durch die Informationen unserer Quelle wieder besser gewährleistet werden.