State of the Swiss web Q1 2022

Wie ist der allgemeine Zustand der Schweizer Internet-Landschaft? In dieser Blogreihe analysiere ich meine Erfahrungen aus den letzten drei Monaten. Ziel ist es eine kurze Übersicht zu erhalten, wo die momentanen Probleme von Schweizer Webapplikationen und Mobilen Apps liegen.

Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir für interne Analysen und einen Teil davon fasse ich in diesem Bericht zusammen.

Testsample 50 Webapplikationen

In den vergangenen drei Monaten haben wir 50 zufällig ausgewählte Webapplikationen von Schweizer KMUs kurz unter die Lupe genommen. Dabei fanden wir ohne grosse Anstrengung, innerhalb von 5 Minuten, mittlere bis schwerwiegende Probleme.

Alle Resultate sind hier anonymisiert aufgeführt. Die betroffenen Firmen wurden informiert.

Die Top 5 der Probleme werden einzeln beschrieben. Alle anderen sind am Schluss in der Zusammenfassung ersichtlich.

Top 5 Sicherheitslücken und Sicherheitsmängel

Firma I

KMU in der Lebensmittelbranche; ~250 Mitarbeiter; Umsatz ca. CHF 100Mio

Befund:

Kompletter Kundenstamm, Datenbank-Backups und Bestellungen konnten öffentlich eingesehen und verändert werden.

---

Firma II

KMU mit digitalem Service in der Mobilitätsbranche; mehr als 100k Downloads im Google Play Store

Befund:

Webapp: Interne Bestimmungen, Anleitungen und Sitzungsprotokolle konnten öffentlich eingesehen werden.

Mobile App / API IDOR: Auflistung von Kundendaten und Spezialbewilligungen.

---

Firma III

International tätiges Unternehmen aus der Schweiz in der Medizinalbranche; Umsatz ca. CHF 2Mia.

Befund:

Webseite: Lizenzierte Inhalte eines Lexikons öffentlich verfügbar.

---

Firma IV

KMU tätig in der Softwareentwicklung; 35 Mitarbeiter

Befund:

Webseite: Öffentlich zugängliche Analyticsdaten von Kundenwebseiten

Webseite: Öffentlich zugängliches Build-System mit Kundenlisten und Programm-Downloads

---

Firma V

Firma in der Tourismusbranche; Mitarbeiter ~1000; Umsatz CHF 90Mio

Befund:

Mobile App / API IDOR: Bewegungsprofile der Kunden, Auswertungen zu Kundenverhalten, Umsatz und Auslastung konnten mit frei zugänglichen Daten erstellt werden.

Zusammenfassung

Veraltete oder falsche DNS-Einträge:	3 von 50 Stück
Abgelaufene oder falsche Zertifikate:	Produktiv im Einsatz 2 von 50 Stück Bei Testsystemen waren ca. 32% der Zertifikate falsch oder abgelaufen
Veraltete Server Software:	1 von 50 Stück (Windows 2008 R2)
Directory-Listing:	2 von 50 Stück
Sensitive Data Exposure:	6 von 50 Stück
API IDOR:	3 von 50 Stück

Erkenntnisse aus KI-Scanner

Besucher unserer Webseite können mit Hilfe unserer eigens entwickelten künstlichen Intelligenz (KI) ihre Webapplikation gratis überprüfen. Dieses schnelle Review ergibt einen guten Überblick über den Stand der Applikation. Die Applikation wird von A-F bewertet.

Zusammengefasst können wir über alle Scans sagen, dass C die Durchschnittsnote ist. Über alle Scans sorgen fehlende Security-Header für den grössten Abzug.