Die Badische Zeitung und die Sicherheitslücke (Update)
Da wird monatelang nicht auf den Hinweis einer Sicherheitslücke reagiert, nachdem ich sie veröffentlichte, ist innerhalb von wenigen Stunden möglich was vorher monatelang nicht ging: Die Lücke wird geschlossen. Der Redaktionsleiter der Onlineredaktion meldet sich in den Kommentaren und bittet zukünftige „vergleichbare Konfliktherde“ über ein Kontaktformular direkt an die Onlineredaktion zu melden. Freundlicherweise verlinkt er es auch gleich. Über die Webseite ist es nämlich sehr einfach zu finden. Man gelangt über „Kontakt“ zu „BZ E-Paper & Online“, dort auf „badische-zeitung.de“ und dann auf die erste Frage „Wohin kann ich mich bei weiteren Fragen wenden?“ und schon ist man bei dem gewünschten Formular gelandet. Einfacher geht es kaum.
Schuld an dem monatelangen Schweigen war also die interne Organisation. Ein Hinweis auf eine Sicherheitslücke wird nicht an die dafür zuständigen weitergeleitet. Das ist zwar alles andere als sinnvoll, kann aber passieren. Direkt am Mittwoch kam ich daher der Bitte von Herrn Hofmann nach und schickte der Onlineredaktion eine Mail über das Formular und wies sie auf eine weitere Sicherheitslücke hin. Umgehend bekam ich auch eine automatische Bestätigungsmail, über den Empfang meiner Nachricht. Und seitdem hörte ich nichts. Weder meldete sich jemand noch wurde die Lücke geschlossen.
Auch bei dieser ist es möglich Code in die Seite einzuschleusen. Zwar nicht ganz so komfortabel wie bei der Kommentarfunktion, aber es geht. Und sie wurde mindestens einmal bereits ausgenutzt. Zwar nur zum Spaß und ohne, dass ein ernster Schaden hervorgerufen worden wäre, aber sie wurde ausgenutzt.
Ich weiß nicht woran es diesmal liegt. Eigentlich sollte die Mail jetzt ja bei der richtigen Stelle gelandet sein. So aufwendig ist die Behebung der Lücke auch nicht. Zur Not müsste halt die entsprechende Funktion bis auf Weiteres abgeschaltet werden.
Vielleicht muss ich auch erst die Lücke veröffentlichen, bevor die Badische Zeitung wieder aktiv wird.
Update: Mittlerweile wurde reagiert und mir mitgeteilt, dass sich die Techniker darum kümmern und das Problem bis heute beheben werden. Mal sehen. Bisher ist nichts passiert. (Stand: 3.11. 13: 21 Uhr)