Datenschutz-Lücke bei LostPassword

selin01 · 29 September 2005, 12:57:38

Hallo Leute,
heute ist mir mal aufgefallen, das jeder die Email eines anderen Users herausfinden kann und das mit einem sehr simplen Trick.

Ok es ist keine Email für andere sichtbar, aber wenn man nun auf "Passwort vergessen" klickt und den Benutzernamen eines anderen users einträgt, dann bekommt man folgene Meldung auf der nächsten Seite:

Bestätigungs-Code fuer User xxx (name@domain.de) gesendet.

Ich habe das mehrmals getestet und ich denke das es schon ein Problem ist mit dem Datenschutz. Man könnte zb eine MSN oder AOL usw Adresse rausfinden um dann den jenigen im Messenger einzutragen oder auch für Spaming ausnutzen.

Auch kann man dann versuchen den Mail-Account des Users zu hacken mit etlichen Tools eigentlich keine Profiarbeit mehr.

Bitte denkt mal darüber nach, was man da nun tun kann.

Ich könnte mir vorstellen, das man den Namen vor der TLD unkenntlicht macht durch xxx zb. Damit der User weiss an welchen Emailanbieter der Bestätigungscode geht.

MFG
Selin01

Nancy · 29 September 2005, 14:30:11

Hi,

bei mir steht "Bestätigungs-Code fuer xxxxx gesendet." Nichts mit E-Mail Adresse.

LG
Nancy

smartmusic · 29 September 2005, 14:39:35

bei mir steht auch keine email adresse

aber ich glaube es war bei vkp mx so

Andi · 29 September 2005, 16:23:38

Hi

die mailadresse wird schon seit vkpMx 2.1.0 nicht mehr angezeigt.
In dieser Datei passlost.php,v 1.6 2003/11/08 14:07:33 war es bereits auskommentiert...

Code Auswählen

#echo "<center>"._CODEFOR." $uname ($email) "._MAILED."<br><br>"._GOBACK."</center>";
echo "<center>"._CODEFOR." ".$uname." "._MAILED."<br><br>"._GOBACK."</center>";

selin01 · 29 September 2005, 16:59:40

Hab ich irgendein Update verpasst?

Wo ist die neue Datei?

Andi · 29 September 2005, 18:38:16

ZitatWo ist die neue Datei?

Was läuft denn auf Deiner Seite?
Müsste ein vkpMx 2.0 sein, in allen Folgeversionen war das bereits geändert.

/mocules/Your_Account/passlost.php

selin01 · 29 September 2005, 23:08:48

CMS-Version: pragmaMx 0.1.6, 1.15/2005-08-27

Andi · 29 September 2005, 23:45:54

Und was steht in der Datei, ganz oben?
/modules/Your_Account/passlost.php
das?

Code Auswählen

<?php // $Id: passlost.php,v 1.4 2005/08/30 07:10:58 tora60 Exp $
/************************************
 pragmaMx  Content Management System
 Copyright (c) 2005 pragmaMx Dev Team - http://pragmaMx.org
 ***********************************
 This program is free software; you can redistribute it and/or modify
 it under the terms of the GNU General Public License as published by
 the Free Software Foundation; either version 2 of the License, or
 (at your option) any later version.
 ***********************************
 $Source: /home/cvs/pragmamx/stable/modules/Your_Account/passlost.php,v $
 $Revision: 1.4 $
 $Author: tora60 $
 $Date: 2005/08/30 07:10:58 $
************************************/