Only in German available.
Published on: March 28, 2022
Author: David Peyer
Wie ist der allgemeine Zustand der Schweizer Internet-Landschaft? In dieser Blogreihe analysiere ich meine Erfahrungen aus den letzten drei Monaten. Ziel ist es eine kurze Übersicht zu erhalten, wo die momentanen Probleme von Schweizer Webapplikationen und Mobilen Apps liegen.
Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir für interne Analysen und einen Teil davon fasse ich in diesem Bericht zusammen.
In den vergangenen drei Monaten haben wir 50 zufällig ausgewählte Webapplikationen von Schweizer KMUs kurz unter die Lupe genommen. Dabei fanden wir ohne grosse Anstrengung, innerhalb von 5 Minuten, mittlere bis schwerwiegende Probleme.
Alle Resultate sind hier anonymisiert aufgeführt. Die betroffenen Firmen wurden informiert.
Die Top 5 der Probleme werden einzeln beschrieben. Alle anderen sind am Schluss in der Zusammenfassung ersichtlich.
KMU in der Lebensmittelbranche; ~250 Mitarbeiter; Umsatz ca. CHF 100Mio
Befund:
Kompletter Kundenstamm, Datenbank-Backups und Bestellungen konnten öffentlich eingesehen und verändert werden.
KMU mit digitalem Service in der Mobilitätsbranche; mehr als 100k Downloads im Google Play Store
Befund:
Webapp: Interne Bestimmungen, Anleitungen und Sitzungsprotokolle konnten öffentlich eingesehen werden.
Mobile App / API IDOR: Auflistung von Kundendaten und Spezialbewilligungen.
International tätiges Unternehmen aus der Schweiz in der Medizinalbranche; Umsatz ca. CHF 2Mia.
Befund:
Webseite: Lizenzierte Inhalte eines Lexikons öffentlich verfügbar.
KMU tätig in der Softwareentwicklung; 35 Mitarbeiter
Befund:
Webseite: Öffentlich zugängliche Analyticsdaten von Kundenwebseiten
Webseite: Öffentlich zugängliches Build-System mit Kundenlisten und Programm-Downloads
Firma in der Tourismusbranche; Mitarbeiter ~1000; Umsatz CHF 90Mio
Befund:
Mobile App / API IDOR: Bewegungsprofile der Kunden, Auswertungen zu Kundenverhalten, Umsatz und Auslastung konnten mit frei zugänglichen Daten erstellt werden.
Veraltete oder falsche DNS-Einträge: | 3 von 50 Stück |
Abgelaufene oder falsche Zertifikate: | Produktiv im Einsatz 2 von 50 Stück Bei Testsystemen waren ca. 32% der Zertifikate falsch oder abgelaufen |
Veraltete Server Software: | 1 von 50 Stück (Windows 2008 R2) |
Directory-Listing: | 2 von 50 Stück |
Sensitive Data Exposure: | 6 von 50 Stück |
API IDOR: | 3 von 50 Stück |
Besucher unserer Webseite können mit Hilfe unserer eigens entwickelten künstlichen Intelligenz (KI) ihre Webapplikation gratis überprüfen. Dieses schnelle Review ergibt einen guten Überblick über den Stand der Applikation. Die Applikation wird von A-F bewertet.
Zusammengefasst können wir über alle Scans sagen, dass C die Durchschnittsnote ist. Über alle Scans sorgen fehlende Security-Header für den grössten Abzug.
Gerne beraten wir Sie zu Cybersecurity-Themen.
Folgende Blog-Beiträge könnten Sie interessieren:
A password with 8 characters with numbers, upper and lower case letters and symbols can be cracked in under one hour.
Source: Hive Systems
X
Gerne beraten wir Sie zu Cybersecurity-Themen.
Contact us without obligation:
Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon