Soll doch GM mal die 200€ "spendieren" um auch im eigenen Interesse die Lücke genannt zu bekommen, welche solche Aufrufe ermöglichen. Immerhin sollte dies wie schon von Winfried erläutert nicht möglich sein, sonst sind solche Entwicklungen wie der GProtector doch vertane Lebenszeit. Ich persönlich tendiere noch immer zu einer Lücke, welche über ein Drittanbieter-Modul eingeschleust wurde. Es ist auch nicht auszuschließen, dass ein Anbieter solch eine Lücke mit "Absicht" verkauft, um somit weiteres Kapital aus seiner sonst schlecht gehenden Modulerweiterung zu schlagen.... alles möglich.
sehe ich nicht so. 1. ist das Teil noch rel. Neu und wie bei jedem Sicherheits-Tool (Virenprogramme, Firewal bis hin zum einfachem oder teurem Türschloss usw) gibt es IMMER was zu verbessern und immer wieder finden Leute Wege um das ganze auszuhebeln. Das Teil jetzt schlecht zu reden und als verlorene Lebenszeit zu verachten finde ich nicht fair. Immerhin ist Gambio wohl die einzige Firma die überhaupt ein auf XTC bassiertem System auf so einem Wege schützt oder? Sicher ist es ärgerlich aber ich würde Wetten das Gambio nicht untätig ist im Bereich Sicherheit. Sonst hätten sie 1. nicht den GProtector entwickelt und 2. letztens nicht eine Sicherheitslücke gefunden und geschlossen. Vor allem würde ich nciht so halb öffentlich hier im Forum schreiben um das ganze zu analysieren und zu beheben, den es geht ja auch darum diese und weitere Straftaten von dem Herren zu verhindern und vor allem den Herren und seine Methoden zu finden. Sollte er wirklich auch hier mitlesen können wäre das sicher kontraproduktiv was hier abgeht.
Das Angebot an Tipps, mögliche Ursachen und wie man das Abstellen kann .... ich weiß nicht ob das hier so offen dargestellt werden soll! So mancher Trittbrettfahrer kommt evtl. nur auf "unschöne" Ideen.
Das mag alles richtig sein, jedoch sehe ich sonst bisher keinerlei oder nur sehr wenig Initiative seitens GM. Ich könnte wetten, dass nach solch einem Vorfall diverse Shopbetreiber massiv verunsichert sind....... .
Im übrigen rede ich den GProtector doch überhaupt nicht schlecht, im Gegenteil. Meine Aussage war lediglich Ein solcher Aufruf, welcher hier beschrieben wurde, sollte m.E, nach schon grundsätzlich in seiner Art her unterbunden werden. Dennoch sollte es jedem klar sein, dass wer im Kontext von php und mysql von Sicherheit spricht....der glaubt wohl auch an den Weihnachtsmann
Wie sagt die Polizei immer so schön: Zu laufenden Ermittlungen können wir keine Auskünfte geben. Das selbe gilt im Grunde auch hier.
Derlei Varianten kann man doch sicher filtern, wenn man weiß, dass diese immer mit /* beginnen und mit */ aufhören. Mit Regular Expression ist das doch kein Problem, das als erstes zu filtern, das Überbleibsel zusammenzusetzen und dann zu analysieren. Ich hab es dann ja wieder kenntlich. Ich vertraue Gambio dahingehend, dass ich mir sicher bin, dass im Hintergrund an der Ursache geforscht wird und, sollte es kein Einzelfall sein, in Kürze etwas dazu gesagt wird. Bis dahin heißt es aber, warten...
lol erwischt (ich finde einen Kamin vom Wettbewerb) - und ich habe auch noch andere Verschwörungstheorien. Wollte Dir die per PN schicken - Die hast Du aber abgeschaltet... In jedem Fall hast Du mein vollstes Mitgefühl und ich hoffe alles klärt sich bald auf.
Ich verstehe zwar nicht, was dass jetzt mit Hollywood zu tun hat.....?!? Ich nenne das schlicht und einfach Wirtschaftskriminalität, welche gerade in der Online-Geschichte fast täglich zum Einsatz kommt. (Beispiel Abmahnwelle und deren Auftraggeber)
Danny eine Agentur die Kundendaten an Kriminelle verkauft, weil die Modulverkäufe schlecht laufen, ist wirklich ein bischen weit her geholt ... daher Hollywood ... Leute die PKI Tests machen wird es immer geben, die Spezies um die es hier geht wird es auch immer geben. Die sterben leider nicht aus ...
Hi Rene, also irgendwie verstehst du meine Denkweise nicht, was wir ja auch schon vor einiger Zeit in einem anderen Fred mal hatten aber ich erkläre eine solche Vorgehensweise gerne mal für alle die, die nicht über den Tellerrand hinaus blicken wollen: Ausgangssituation: Ich bin ein kleiner Coder, welcher gerne schnell an etwas Geld kommen will, ohne dabei großartig Geld zu investieren...also mache ich folgendes: 1. Ich entwickle eine kleine aber feine Erweiterung für ein Shopsystem, welches großen oder mittleren Anklang findet 2. In dieses Modul implementiere ich eine Sicherheitslücke bzw. modifiziere einige Aufrufe, welche einen Zugang mittels SQL Injection erst ermöglichen 3. Nun bewerbe ich das Modul in bekannten Foren bzw. auf diversen Plattformen 4. Ich verkaufe das Modul und biete vielleicht noch einen Installationsservice an (was für mein Vorhaben noch besser wäre ) 5. Nach getaner Arbeit an diversen Shops lasse ich eine Zeit vergehen (6-12 Monate), damit kein Verdacht erregt wird 6. Nun nutze ich mein Wissen bzgl. der Lücke und melde mich bei einigen Shopbetreibern als "Pavel xxx" und informiere diesen über das Problem und biete meine Hilfe für nur xxx€ an .... Und den ganzen Rest kennen wir hier ja nun schon. Dies ist eine einfache und simple Verfahrensweise, welche in der Wirtschaft langsam immer mehr in Mode kommt. Wenn ich nun in meiner Denkweise auch noch den Hollywood-Aspekt mit einbringen würde, dann hätte ich innerhalb eines Tages eine sehr erfolgsorientierte Vorgehensweise, um Betreibern das Geld aus den Taschen zu ziehen. Von daher sollte man sich hier in diesem Fall sämtliche Überlegungen offen halten.
@marmoles Es ist unberuhigend zu lesen was dir passiert ist! Wenn man liest und hört wie es weltweit von namhafte Firmen wie Sony und Co. die Datenbanken geknackt werden und die daten von Thousende Kunden geklaut werden, dann weiß man, dass es keine 100%ige Sicherheit gibt. Ich habe vor einige Tagen einen Email von Samsung erhalten: " Es gibt immer wieder Bedenken und Fragen zu ID- und Passwort-Diebstahl. Samsung Electronics nimmt Datenschutz und Datensicherheit sehr ernst. Allerdings sind einige Benutzer bei Angriffsversuchen anfälliger, wenn sie die gleiche Benutzer-ID und das gleiche Passwort für unterschiedliche Dienste benutzen. Wir empfehlen unseren Kunden die folgenden Maßnahmen zum Schutz Ihrer persönlichen Informationen. 1. Verwenden Sie nicht für jede Webseite die gleiche ID und das gleiche Passwort. 2. Verwenden Sie keine leicht zu erratenden Passwörter. 3. Ändern Sie Ihr Passwort regelmäßig. Wenn Sie Ihr Passwort ändern möchten, um die Sicherheit Ihres Samsung Accounts zu erhöhen, dann ändern Sie Ihr Passwort gleich jetzt, indem Sie unten auf den Link klicken. " Ich vermute, dass es zumindest Versuche bei Samsung gab um an die Kundendaten dran zu kommen. Daher denke ich generell sollte man, wie von Samsung vorgeschlagen, mehrere Passwörter und Benutzernamen verwenden. Eine Lüke muß nicht unbeding bei Gambio in System sein. Wenn ich die gleiche Benutzername und Passwort wo andres einsetze und diese Daten geknackt werden, kann der Datendieb es zumindest versuchen ob er mit selben Benutzerdaten auch da zugreifen kann! Letztendlich müssen wir alle warten um zu sehen ob noch jemand so einen Anruf bekommt? Wenn nicht, dann meine ich, dass die Lücke nur bei dir vorhanden ist! Und ich hoffe, dass du es bald im Griff hast.
naja wenn dann wäre das ja auf dem Server die DB läuft auf einem DB-Server bzw. der Software diese wiederum läuft auf dem Server. Wenn du also den Server checkst wird auch die DB geprüft. ausser er hat sich nen DB User angelegt irgendwie oder nen admin zugang generiert mit der er in shop kommt. da könnte man die Rechte der Kunden prüfen.