Hallo,

zufällig bin ich im Internet auf eine grosse Zahl von madExcept bugreport.txt Dateien gestossen, die eine Firma wohl in einem sicheren Verzeichnis auf dem Webserver zu haben glaubt.

http://www.domäne.de/support/ * secure * /attachment/nnn/bugreport.txt

Daneben sind diese Bugreports auch offen in einem JIRA issue tracker zu sehen. Die bug reports enthalten Angaben, die theoretisch missbraucht werden können (zum Beispiel Typ und Version des Virenscanners). Wenn ich Zeit habe schreibe ich nachher mal an die Firma. Wie würdet Ihr das als Softwarehaus handhaben, sollte man Kundenbugreports nicht grundsätzlich nur dann im Internet - zum Beispiel in einem öffentlich sichtbaren Forum oder Issuetracker - belassen, wenn sensible Daten daraus gelöscht werden?

Die Sicherheitslücke wurde nach meiner Mail an den Webmaster nun geschlossen.

Haben die sich denn wem falls irgendwie bedankt oder gar erkenntlich gezeigt?

Ja, bedankt hat sich der Autor (einer deutschen Softwarefirma):

... "Mir ist das Thema bewusst gewesen, ich
habe aber nun bereits die 3 Anfrage diese Woche hierzu bekommen, so dass ich
hier die Transparenz dem Datenschutz unterordnen werde. ...

Vielen Dank nochmals für Ihre Mühen(Email) und dem Hinweis! ...


Ich verstehe das so, dass die Bugreports bekannterweise frei abrufbar waren, um den Kunden 'transparent' Zugang zu den gemeldeten Abstürzen in JIRA zu ermöglichen. Nach den Hinweisen an den Author ist erst jetzt der Datenschutz höher gewertet worden.

Die JIRA-Einträge umfassen Daten aus mehr als einem Jahr - einschliesslich Screenshots der laufenden Anwendung, die Daten aus Aktiondepots darstellten.

Die Daten sind über Google's Cache natürlich jetzt immer noch aufrufbar