Mittwoch, 16. November 2005, 10:59
Mal wieder: Unsichere FTP-Passwörter
Mal wieder. Ein Kunde hatte ein unsicheres FTP-Passwort, das erraten wurde (leider schon beim 1. Versuch), es wurde ein Skript abgelegt, das Phishing-Mails verschickt hat. Wir haben das relativ schnell unterbunden, den Aufwand haben wir dem Kunden mit 30 Euro brutto in Rechnung gestellt.
Auf unsere Informations-Mails, die auch Logauszüge etc. enthielt, kam dann folgendes:
Auf unsere Informations-Mails, die auch Logauszüge etc. enthielt, kam dann folgendes:
Guten Tag!Da will wohl mal wieder jemand nicht einsehen, dass es soetwas wie ein Betriebsrisiko gibt, zumal der Vorfall eindeutig auf seine "Kappe" geht.
Da die gestrige Phishing Attacke nicht auf unser Verschulden zurückzuführen ist und der Vorfall auch von uns ohne Ihre Intervention durch Löschen der bertreffenden Dateien aus dem Webspace sofort nach Bekanntwerden beseitigt wurde, werden sämtliche finanziellen Ansprüche Ihrerseits sicherlich nicht abgegolten werden.
MfG,
...
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Observer
Manuel Schmitt (manitu)
Energiequant
Abgesehen davon: Wenn er nur Webspace-Kunde ist (kein eigener Server), seid Ihr doch Admin-C, oder? In dem Fall haftet Ihr wenn ich die Heise-Meldung von letztens richtig in Erinnerung habe.
Manuel Schmitt (manitu)
Wieso auch? Er ist ja Verfügungsberechtigter, wir sind nur der Technik-Dienstleister!
Energiequant
David Triendl
Bastian
Der sollte mal froh sein, dass ihr NUR 30 Euro berechnet habt.
Bei anderen Providern nehmen die gleich 100 dafür.
Bastian
Der sollte mal froh sein, dass ihr NUR 30 Euro berechnet habt.
Bei anderen Providern nehmen die gleich 100 dafür.
Realflo
Meine Güte... ich zahle lieber 30 EUR als haftbar gemacht zu werden wegen grobfahrlässiger Konfiguration...
Manuel Schmitt (manitu)
liqid
Username = Passwort - ich hoffe das das nicht eure Standard-Passwort-Politik bei der Vergabe. Wenn ja, ist klar woher das "unsichere" Passwort stammt.
Ausserdem, gibt es nicht mittlerweile Versicherungen, die solche Fälle abdecken? Ich würde mir an Deiner Stelle so eine Anschaffen und mit in die Paketpreise einrechnen. Dann ersparst Du Dir und deinen Kunden nämlich solchen Ärger mit plötzlich auftetenden Forderungen.
Was Passwörter angeht bin ich gundsätzlich der Meinung, dass kein Mensch haften sollte wenn jemand sein Passwort knackt.
Es ist ja schließlich genauso verboten ein Auto zu entwenden, nur weil es offen in einer Garage steht, die mit einem Schloss abgeschlossen ist das sich knacken lässt.
Genauso ist ja wohl der jenige für seine Taten verantwortlich, der Passwörter knackt und Schaden anrichtet. Nur weil man den Täter nur schwer ermitteln kann ist das noch lange kein Freibrief dafür, seine Forderungen den erst-besten gegenüber geltend zu machen* von dem man die Kontaktdaten findet, nämlich dem Eigentüber des geknackten Servers gegenüber.
Auf lange Sicht gesehen ist schließlich kein Passwort sicher, egal wie lange es ist und aus was für unmöglichen Zeichenfolgen es zusamengesetzt ist. Passwörter sind schon vom Prinzip her unsicher (siehe "Sesam öffne dich!"), nur will es anscheinend noch niemand wirklich wahr haben.
*(Ich rede hier nicht von Dir, manitu, sondern von den Spam-Opfren)
Manuel Schmitt (manitu)
Zur Haftung. Mir ggü. haftet ersteinma der Kunde. Ich als Hoster habe keine Ansprüche ggü. demjenigen, der ein Passwort erraten hat, denn er hat nicht mir, sondern dem Kunden einen Schaden zugefügt. Ich habe keine Ansprüche, denn ob es nun erlaubt oder nicht erlaubt war, ob er es mit Erlaubnis oder ohne, getan hat, steht nicht mir zu, zu entscheiden.
So schlimm es klingt, aber der Kunde muss sich hier schadlos am Verursacher handeln. Ist dieser nicht zu ermitteln, trifft ihn das Betriebsrisiko. Ähnlich / gleich wäre es bei einem Miet-/Pachtobjekt, wo der Mieter/Pächter ggü. dem Vermieter/Verpächter haftet.
Uwe Keim
Roger Wilco
Manche Leute wollen einfach zu ihrem Glück gezwungen werden.