Schlagwort: Symfony Profiler

Leakvent 21: Philipp Plein

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Bereits 2021 war beim Crypto King Philipp Plein ein Symfony Profiler für alle zugänglich im Netz. Ich rief dort an, schrieb E-Mails, kontaktierte den Chief Digital Officer via Linkedin, meldete mich beim GovCERT in der Schweiz und bei der Berliner Datenschutzbehörde ‒ lange passierte nichts. Erst 2022 oder später verschwand der Profiler aus dem Internet.

Über den Profiler konnten frühere Formulareingaben eingesehen werden, zum Beispiel Zugangsdaten für ein Shipping Portal.

Das Shipping Portal nach dem Login

Das sah relativ langweilig aus. Aber der Profiler spuckte auch gültige Zugangsdaten für ftp.pleingroup.com aus.

Der Symfony Profiler zeigt u.a.gültige FTP-Zugangsdaten

Unter /ftp-demandwareXML/CRM/transaction_address/archive/ befanden sich allein in der Datei transactions_address_20210921.csv fast 800.000 Datensätze mit Namen, Adresse, E-Mail-Adresse, Geschlecht und Telefonnummer. Andere Dateien enthielten auch Geburtsdaten. Es wurden regelmäßig neue Daten geliefert und es gab auch Bilder von Reklamationen zu sehen.

Das war erst einmal nicht ungewöhnlich. Exponierte Symfony Profiler führen häufig zu Daten von Webshop-Kund*innen. In diesem Fall war jedoch besonders, dass auch frische Daten aus Filialen der Modefirma zugänglich waren, z.B. der Filiale im Kurfürstendamm. Aus diesem Grund wurde das Leck auch an die Berliner Datenschutzbehörde gemeldet.

Auch Daten von Kund*innen aus Plein-Filialen waren zugänglich

Auf keinen der zahlreichen Kontaktversuche hat Plein sich zurückgemeldet.

Leakvent 7: Vino24, Rindchens Weinkontor und Staatsweingut Freiburg

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Gleich drei Mal waren 2023 Daten von Wein-Käufer*innen ziemlich offen zugänglich. Die Ursache war in jedem Fall ein Symfony Profiler. Über diesen können u.a. Zugangsdaten im Klartext sowie Konfigurationsdaten eingesehen werden.

Beim Staatsweingut Freiburg konnte man sich damit beim SQL-Server einloggen und auf Daten von etwa 9.400 Kund*innen zugreifen.

Bei Rindchens Weinkontor lagen die Zugangsdaten eines Administrators. Damit konnten in der Testumgebung Daten von etwa 50.000 und in der Produktivumgebung Daten von mehr als 60.000 Kund*innen eingesehen werden.

Bei Vino24 sieht es ähnlich aus, dort waren Daten von knapp 250.000 Kund*innen zugänglich.

Leakvent 2: Die Partei

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Weiter geht es mit der Partei Die Partei. Die Entwicklungsumgebung eines Webshops für Parteibedarf mit aktiviertem Symfony Profiler war 2022 offen zugänglich.

The profiler is a powerful development tool that gives detailed information about the execution of any request.

Never enable the profiler in production environments as it will lead to major security vulnerabilities in your project.

Über diesen Profiler konnten u.a. Konfigurationsdaten (“mysql://dev:████████@localhost:3306/dev”) sowie personenbezogene Daten von Bestellenden (Name, Adresse, E-Mail-Adresse) abgerufen werden. Die Daten reichten ein Jahr zurück und umfassten augenscheinlich nicht nur Testdaten.