• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

Sicherheitslücke bei Telelinden

Sascha Davi

Gesperrt
Hallo an alle. Ich habe mich extra hier registriert nur um diese Meldung und oder Frage dazu schreiben zu können.

Mir ist folgende Sicherheitslücke aufgefallen die ich nicht wirklich schön finde da jeder sehen kann wieviel ich z.b. an Provisionen kassiert habe von Anfang an und wieviel Geld ich gerade auf dem Telelinden Konto angesammelt habe. Selbst auszahlen kann ich das Geld an jeden User der Geld drauf hat (nicht an andere als den Besitzer) oder die Terminals löschen von der Webseite.

Es gibt für jeden Werbepartner einen Speziellen Link
Hier ist ein Beispiellink:
TeleLinden Cash Service - Linden Dollars just a phone call away

Die Sicherheit der Daten soll darin bestehen das der Link geheim ist? Das pkey ist einfach nur die Avatar UUID und die raus zu finden dürfte jedem klar sein ist selbst für Anfänger mittlerweile super einfach.

Durch die Information unter Customers kann ich ausrechnen wieviel Provision die Person schon kassiert hat. Ist das wirklich so ein guter Schutz das jeder sehen kann wieviel Provision ich kassiert habe?

PS: Ich habe oben den Link so abgeändert das er zu keiner Person passt aber ihr könnt es ja selbst anschauen.

Leider kamen auf eMails keine Antworten von Seiten Telelinden und am Telefon geht niemand ran seit 2 Tagen.
 
Also mir zeigt er nicht deine Kunden unter Customers an, vielleicht bist einfach noch eingeloggt weil ein entsprechendes Cookie gesetzt ist.

Aber ansonsten bin ich da kein Kunde und kenne die Seite nicht
 
habs mal getestet..

geb mal ingame tele linden ein, schnyder.. und nimm irgend ein namen von denen. Also bei mir wird irgendwas aufgelistet, aber anfangen kann ich damit nichts :D
 
hmm also mich interessiert die Seite jetzt nicht so wirklich und ich stelle grundsätzlich keine fremden Terminals auf mein Land.

Aber wenn ihr das so sagt wie es ist, dann sollte man echt drüber nachdenken wenn jeder Hans und Franz sich gegenseitig ausspähen kann.
 
uiuiuiuiui!
Also ich hab das mal getestet mir jemanden der da ein terminal hat!
Und mit der UUID geht das! also da ist wirklich ein riesen sicherheitslücke drin!
Naja aber mir wäre das eigentlich egal ob die sehen wie viel ich da jetzt verdient habe oder nicht!
Und die namen Wer da kauft sieht man ja auch nicht!
Aber blöd ist schon das man die terminal auch vom web aus löschen kann (soll ich das mal machen *gg* ne! Spass bei seite)
 
Ja es ist nicht so schön.

Mich würde rein Theoretisch interessieren was passiert wenn ich 100 User heraus suchen die viel Geld drauf haben oder noch mehr und dann bei allen auf auszahlen klicke.

Oder wie sieht das Rechtlich aus mit dem Verdienst wenn man ihn nicht angemeldet haben
 
es ist ja nicht wirklich dragich wenn du da drauf klickst! DU bekommst ja nicht das geld sondern der mit der UUID oben (also besitzer)

Er wird sich nur wundern warum er auf einmal das geld bekommst!
 
Es sollte auch bei anderen Cash inworld säulen klar sein, durch die Provisionen die die Besitzer bekommen, müssen Dinge aufgelistet sein....Es gibt noch mehr Dienste die nicht wirklich kompletten Datenschutz bieten und ich bin mir nicht sicher ob das in der Datenschutzerklärung von denen dann drin steht, das der Owner des Terminals genau sieht wieviel geld man wann bei ihm auf dem Land vom jeweiligen Dienst erworben hat, also mir ist das nicht so recht.

Aber wo kein Kläger,....
 
Joa, vielleicht ist es wirklich bis dato niemandem so richtig aufgefallen oder es hat niemanden interessiert und jetzt durch den Thread kommt es erst ins Rollen.

Aber eigentlich sollte sich Tele Linden dieser "Lücke" bewusst sein, wie lange gibts die schon, und was setzen die schon um... kein kleiner Laden.

Naja, what ever.. evtl. ne Mail schreiben und sonst vergessen.
 
Den Dienst gibt es seit Juni 2007. Hinter ihm steht eine Münchner Firma, dessen Besitzer in SL Lislo Mensing heißt. Das steht alles auf der Website.

Dass er angeblich bisher nicht auf Mails antwortet, ist schon komisch, denn der Webauftritt zumindest wirkt sehr seriös.

Vielleicht nochmal ingame anschreiben ...
 
Danke Arno, habs 3mal pobiert, dann angerufen und eMail auch nochmal.
Gestern Abend, Heute Morgen, und am Mittag noch einmal. Null komme nix, nix zu erreichen. Naja vielleicht wollen sie garnicht mehr oder kennen das Problem und wollen es totschweigen. Währe echt schade denn die Einkünfte sind gut.
 
Naja vielleicht wollen sie garnicht mehr oder kennen das Problem und wollen es totschweigen. Währe echt schade denn die Einkünfte sind gut.

Sascha, ich habe leider weder eine E-Mail, noch IM, noch Nachricht auf Mailbox, etc. von Dir erhalten. Dann hätte ich mich sicher früher darum kümmern können. Das wird jetzt natürlich nachgeholt. Aufmerksam wurde ich übrigens durch einen Anruf von TalinaQ und ein anonymes Posting in unserem TeleLinden Blog.

Zum Hintergrund: Die Statistik-Seiten für unsere Partner sind nur schwach geschützt, da wir ursprünglich vor hatten, die Zahlen aller Partner komplett öffentlich zu machen. Der Gedanke war, dass auf diese Weise jeder sehen kann, wie erfolgreich TeleLinden insgesamt ist, und wie man im Vergleich mit anderen Partnern dasteht. Die Partner sollten sich dann direkt austauschen können und Erfahrungen austauschen.

Angesichts des gestiegenen Interesses an diesem Thema werden wir den Zugangsschutz jetzt stärker machen. Bis dahin bleiben die Partnerseiten erst einmal komplett gesperrt.
 
Eine offenlegung der Einnahmen ist sicher keine gute Idee, schon aus Datenschutz Gründen und wie bereits angesprochen gegenüber dem Finanzamt.
Gut das die Sicherheitslücke geschlossen ist aber blöd das man nun seinen Digit Code eingeben muss, den speichert der Browser nicht mal als Passwort.. :p

Mfg*eister
 

Users who are viewing this thread

Zurück
Oben Unten