Datenleck bei Ruf-Jugendreisen

Die Firma Ruf ist nach eigenen Angaben die Nummer 1 unter den deutschen Jugendreisen-Veranstalter. Auf ruf-jugendreisen.de gibt es eine dazu gehörige Community, in der sich die meist Jugendlichen Kunden vor und nach den Reisen austauschen können. Vor einer Woche erhielten wir detaillierte Informationen, wonach es in der Community zahlreiche kritische Sicherheitslücken gibt. Der Fall ist damit vergleichbar mit haefft.de, einer Schüler-Community, der vor wenigen Wochen vom Chaos Computer Club eklatante Sicherheitslücken nachgewiesen wurde.

Neben den üblichen XSS- und SQL-Injection-Lücken wurden die Passwörter der jugendlichen Benutzer im Klartext in der Datenbank gespeichert, anstatt, wie üblich, gehasht zu werden. Unserer Quelle war es sogar möglich, alle Details von ca. 50000 Benutzerkonten auszulesen, auch das Lesen privater Nachrichten war möglich.

Unsere Quelle hatte ein Interesse, dass das Datenleck schnell behoben wird. Wir haben am Freitag das Unternehmen kontaktiert und ihm alle relevanten Informationen zur Schließung der Sicherheitslücken zu gesendet, inklusive einer Kopie ihrer Datenbank. In der Datenbank fanden sich zahlreiche personenbezogene Daten von Jugendlichen, wie Geburtsdatum, Mailadresse, Name, Vorname, Pseudonym, Webseite, Adresse und Passwort.

Die Firma Ruf reagierte sofort und nahm die Community noch in der Nacht zum Samstag vom Netz. Derzeit ist sie immer noch offline. Uns wurde auch erklärt, dass die uns zugespielten Nutzerdaten nicht mehr aktuell seien, sondern nur ein Backup älterer Datenbestände seien. Unsere Quelle hat die vom Server gezogenen Daten nach Verschickung an uns sofort gelöscht.

Ruf erklärte uns nun, dass beim Eindringen in ihren Server „in großem Umfang Daten manipuliert wurden“ und ihnen „somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde“. Man gehe davon aus, dass unsere Quelle dafür verantwortlich ist und ihre Anwälte ihnen nahe gelegt haben, Strafanzeige zu stellen. Wir versuchen nun zwischen unserer Quelle und Ruf zu vermitteln. Vor allem klingt der Vorwurf etwas absurd, dass unsere Quelle erstmal massiv Schaden anrichtet und dann detailliert Fehler und Sicherheitslücken beschreibt und über uns den Kontakt zu Ruf sucht, damit diese endlich mal ihre Community sicherer machen. Nach Durchsicht aller Sicherheitslücken sieht es danach aus, als sei die Community-Plattform mit einem Schweizer Käse vergleichbar, der zahlreiche dicke Löcher hat. Man kann davon ausgehen, dass schon früher andere Personen die recht offensichtlichen Sicherheitslücken genutzt haben.

Passend ist auch der Datenschutz-Hinweis auf der Webseite:

Bei uns sind deine Daten sicher!

Wir garantieren, das wir keine Daten, die ihr über die Website ruf.de eingebt, an Dritte weitergeben werden. Die Daten, die ihr bei der Registrierung eingebt, werden ausschließlich für die Nutzung der Angebote unter ruf.de benötigt und auch nur dazu gespeichert.

Wir berichten über die weiteren Entwicklungen und gehen davon aus, dass Ruf die Vorwürfe gegen unsere Quelle zurück nimmt. Der Datenschutz der zumeist jugendlichen Kunden von Ruf konnte erst durch die Informationen unserer Quelle wieder besser gewährleistet werden.

Update: Aufgrund dieses Artikels haben wir einen Hinweis bekommen, dass die Lücken schon im Rahmen eines Lightning-Talks auf dem 23c3, also vor 3 Jahren, bekannt gegeben wurden. Als Vorgeschichte gab es noch den Hinweis, dass eine Person damals auch die Sicherheitslücken an Ruf gemeldet hat und dieser dann mit Anwälten bedroht wurde. Das lässt die Drohungen gegen unsere Quelle nochmal in einem ganz anderen Licht erscheinen. Wenn daran was dran ist, was die Videoaufzeichnung der 23c3 Lightning-Talks auch sagen, dann ist das Verhalten von Ruf unverantwortlich und jugendgefährdend.

Mal schauen, ob Ruf jetzt alle betroffenen Nutzer über das Datenleck informiert?!

Update: Ruf scheint die Sache jetzt entspannter anzugehen und redet in Zusammenhang mit meiner Quelle nicht mehr von Anwälten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

47 Ergänzungen

  1. Die Karte „Wir verunglimpfen erst mal den Whisleblower“ wird auch gern gspielt. Aber nutzen wird das nicht, der Ruf ist dahin.

  2. Soso, ein „nicht unerheblicher wirtschaftlicher Schaden“. Wie wär’s denn wenn die 50000 Benutzer mal ne Sammelklage gegen Ruf ins Rollen bringen?

  3. #3:

    Satz 1: Ja, immer wieder das gleiche. Um sich beißen, anstatt dem eigenen Lieferanten angemessen in den Bobbes zu treten (ich gehe nicht davon aus, daß man eine hauseigene Applikationsentwicklung betreibt).

    Satz 2: Wunderbar formuliert ;-)

  4. Wenn da mal der alte Spruch nicht wie die Faust aufs Auge passt:
    „Ist der Ruf erst mal ruiniert, lebt’s sich gänzlich ungeniert.“

  5. RUF Reisen haben ihren Sitz in Bielefeld und wir haben von früher her noch Kontakt. Ich könnte mich als Vermittler anbieten. … //padeluun

  6. Hm,
    irgendwie faellt auch auf, dass in diesem komischen talk noch andere websites vorgestellt werden, die den gleichen kram nutzen. irgendwas sagt mir, dass man da auch mal gucken sollte ob da nicht… naja…

    1. @padeluun: gibts da irgendwas zu vermitteln? außer da wg. vorsätzlichen handelns und verschleierungsversuch und grober fahrlässigkeit den bußgeldrahmen auszuschöpfen, sehe ich da wenig handlungsbedarf.

  7. „Wegen Wartungsarbeiten am Server steht die Community z.Zt. nicht zur Verfügung.“ – hört sich besser an als, sry, all deine daten sind jetzt unwiederruflich im internet

  8. Die beschriebene Reaktion ist leider nicht ungewöhnlich:

    „Meiner Erfahrung nach reagieren Behörden und Unternehmer, die von „Ehrenamtlichen“ auf Sicherheitslücken aufmerksam gemacht werden, nicht immer mit Dankbarkeit. Die für die IT Verantwortlichen stehen dann unter einem Rechtfertigungszwang, dem sie dadurch ausweichen, dass sie versuchen, „kriminelle Hacker“ für diese Lücke verantwortlich zu machen … “

    http://www.gulli.com/news/die-hackerparagraphen-und-ihre-2007-09-22/

    Sie ist jedoch entschieden zu missbilligen:
    Sie macht es nämlich nachvollziehbar, wenn manche keinen weißen Hut mehr tragen und andere ihn erst gar nicht anziehen wollen.

  9. Die Sache mit den Drohungen und Anwälten scheint bei Ruf-Reisen zur Geschäftspraxis zu gehören – in der Reisebranche kennt mancher Mitbewerber die Situation auch schon…

  10. Liest sich ja eher, als ob Ruf schon mal versucht, jemanden zu finden, an den man eventuelle Schadenersatzforderungen weiterreichen kann.
    Müssten da vielleicht besser mal nach ihrem Dienstleister schielen (und auch da vorher nochmal nachlesen, was zum Thema Datenschutz in ihrer Anforderung stand).

  11. Die sind ja wie bei Lidl:
    Typ: Hey, ich hab ihre Daten, ich möchte sie ihnen nur zurückgeben, ich will auch kein Geld.
    Lidl: Nein nein, das passt schon. Wollen wir nicht.
    Später…
    Lidl: Hey, sie haben unsere Daten, geben sie uns die sofort wieder oder wir verklagen sie noch mehr!

    Klagen, Abmahnen, Drohen… Scheint viel besser/billiger zu sein als die Lücken zu schließen. Ist ja auch nicht deren Problem wenn die Userdaten weg sind. Und beim Klagen kann man ja bekanntlich gut Geld scheffeln.

    Naja, jeder normale Mensch sollte/wird solche dubiösen Firmen meiden.

  12. herzlichen glückwunsch ruf!

    inkopetentes team die keine fehler eingestehen können, gut das eure quelle nichts böses mit den daten anstellt;

    kenne genug leute die damit ordentlich cash rausgeholt hätten

  13. Also ich kann mich bei dem dem Post und den Kommentare nur wundern: Woher nehmt ihr alle das wissen, dass der Entdecker der Lücke sie auch nicht ausgenutzt hat? Ach ja, richtig, weil er die Lücke gemeldet hat – Naja, aber nachdem ich es ausgeschlachtet habe kann ich das Ganze auch melden und noch ein bisschen Ruhm abbekommen (wenn auch nur anonym, versteht sich).
    Worauf ich hinaus will ist nicht, dass ich dieses Szenario unbedingt für wahrscheinlich halte, aber so ist es doch möglich. Genauso ist es möglich, dass jemand anders Daten manipuliert hat, auf keinen Fall ist es aber auszuschließen dass Daten verändert wurden. Wenn ich dann als Firma höre, dass jemand da eingedrungen ist, würde ich ihn doch ganz logischerweise als möglichen Täter in Betracht ziehen und meinen Anwalt einschalten. Das heißt doch aber nicht, dass man seine Fehler nicht eingesteht – Die Webseite ist doch down und wird dann wohl gefixt.

    Was ich erreich will: Seht bitte nicht nur schwarz und weiß, es gibt viele Graustufen dazwischen. Und der Entdecker eines Lecks is nicht a priori der Gute. Man sollte sich z.B. auch fragen, warum sucht jemand solche Fehler? Sicherlich kann es aus sportlichem Ehrgeiz sein, es kann aber auch andere Gründe geben.

    Auf jeden Fall finde ich die Vorgehensweise von RUF angemessen: Webseite abschalten und Anwälte. JEDER vernünftige Firmeninhaber hätte das selbe getan – Versucht euch hineinzuversetzen.

    1. @Dirk: Vor allem durch die Informationen aus dem Update sehe ich anders. Ruf hat wohl schonmal versucht, einen freundlichen Tip-Geber einzuschüchtern und anscheinend ist danach wenig passiert.

  14. @ Dirk:
    Ich finde die Vorgehensweise nicht ganz angemessen. Denn mit den Anwälten verprellen sie nur die Leute die die Lücken aufzeigen (können). Das hat zur Folge das die Lücken nicht mehr gemeldet, sondern ausgenutzt werden. Entweder vom Finder selbst, oder von anderen.

    Ich denke wenn er die Lücke genutzt hätte, dann hätte er Forderungen oder sowas gestellt. Die Daten verkaufen wäre vielleicht möglich, aber wohl eher sinnlos, wenn man da offensichtlich so leicht ran kommt, so das „Interessierte“ sich die auch selbst beschafft hätten.

    Was mich konkret stört: Es wird scheinbar nicht versucht die Sicherheit zu erhöhen sondern es soll wohl nur Angst geschürt werden, um von den eigenen Fehlern abzulenken, bzw. zu verhindern das weitere Fehler/Lücken öffentlich werden, weil genau das dazu führen könnte das weniger Geld verdient wird, da eventuell die Kunden weglaufen.

  15. @Markus
    Hast du Belege dafür, das damals ein „Tipp-Geber“ eingeschüchtert wurde oder hast du das vom hörensagen? Hast du Recherche betrieben? Beteiligte befragt? Mit dem Unternehmen darüber gesprochen?

    Wurde bei dem von dir angesprochenen Fall damals die Staatsanwaltschaft bemüht? Wurde jemand angeklagt? Hat die Person in dem von dir zitierten Fall möglicherweise eine Straftat begangen und wurde trotzdem nicht angezeigt? Wurden die Lücken beseitigt?

    Das alles weißt du über diese Geschichte nicht. Bist du ein Journalist der mit gut recherchierten Fakten hantiert, oder jemand der für eine flott erzählte Geschichte in seinem Blog, die prima ins eigene Weltbild passt, mal eben alle journalistische Sorgfaltspflicht bei Seite lässt?

    1. @Uwe: Ich hab mir die von mir verwendete Formulierung auf den Hinweis hin noch mal angeschaut und denke, dass ich da nichts ändern muss. Die Geschichte wurde mir von einer Seite präsentiert und ich gebe Ruf gerne die Möglichkeit, mit einer eigenen Version der Geschichte darauf zu reagieren. Man muss übrigens nicht angeklagt und/oder mit einem Staatsanwalt konfrontiert werden, um sich als Hinweisgeber einer Sicherheitslücke gegenüber einem Unternehmen eingeschüchtert zu fühlen. Der Hinweis auf die Einschaltung von Anwälten reicht da vollkommen.

  16. @ Markus

    ich finde grundsätzlich schon wichtig, wie ruf informiert worden ist und wer die quelle war (es kann ja auch ein konkurrent sein, oder?). und wie dann darauf reagiert worden ist.

    fehler passieren – und auch crasse fehler. egal wie gross der laden ist. es gibt programmierfehler. und die haben ursachen (leichtsinnigkeit, zu wenig zeit, dummheit o.a.). dafür ist ruf verantwortlich.

    abschalten war grundsätzlich schon mal gut – nun muss die software durchgecheckt werden und dann am besten auch nochmals von einem externen untersucht werden. oder gleich eine neue software, wenn das ding zu alt für ein update ist…

    der fehler geht nicht. das ist klar. ruf wird davon lernen und die programmierer, die dahinter stehen, auch.

    pauschale „ruf“schädigung :-) der agenturen im impressum darf nicht passieren (siehe link hier weiter oben) – erst recht nicht, wenn nicht klar ist, wer verantworlich ist.

    hier kann schnell eine unsaubere und unfaire situation entstehen.

    1. @Steimle: Ich habe Ruf am Freitag mit allen relevanten Informationen kontaktiert. Und meine Quelle war gewiss kein Konkurrent. Den Link zu der Agentur hab ich entfernt. Ich habe keine Ressourcen, hier ständig alle Kommentare in Echtzeit zu checken, denn ich muss auch noch einer Arbeit nachgehen, um dieses Blog finanzieren zu können.

  17. @Simon
    Kann es Hacker geben, die manchmal, obwohl sie eigentlich zu den Guten gehören wollen, vielleicht in ganzganz selten Fällen noch sehr jung sind und einfach aus, ich sag mal Unüberlegtheit dann doch Schaden anrichten?

    Ist so ein Fall – rein theoretisch – vorstellbar?

  18. Ganz egal, was der Tipgeber getan hat, wenn die Daten gesichert gewesen wären, hätte er keine Chance gehabt. Das Mindeste, was zu erwarten ist, ist dass Ruf sich bei den Usern entschuldigt. Es ist einfach schlechter Stil, seine Fehler nicht einzusehen und den Tipgeber einzuschüchtern. Ich werde keine Geschäfte mit dem schlechten Ruf machen.

  19. @Parse: Was ist das denn für eine Logik? Nur weil jemand seinen Autoschlüssel hat stecken lassen klaust du das Auto? Weil jemand seine Haustür nicht abschließt brichst du ein? Keine Frage, das Leck ist peinlich und gehört geschlossen, aber nur weil Lücken da sind heißt es nicht, dass man diese ausnutzen kann. Und im Übrigen sind IMMER Lücken vorhanden, man muss halt nur lange genug danach suchen…

  20. Immerhin, wenn ich meine Bürotür nicht abschließe und jemand die wichtigen und in meinem Fall – datenschutzrelevanten Unterlagen – klaut, werde ich entlassen und mein Ruf ist ruiniert, in einem Jahr kann ich harzen.
    Wenn ich meine Haustür offen stehen lasse, bezahlt die Versicherung den Diebstalsschaden nicht. Das nennt man Mitverantwortung.

  21. #22: Graustufen hin, schwarzweiß her: Das wirkliche Problem ist, daß Firmen – systembedingt – nach dem größten (vermeintlichen, für sie erkennbaren, etc.) Leistungsumfang zum kleinstmöglichen Preis suchen. Wenn es dann noch um ein Thema geht, von dem sie keine Ahnung haben (was in der Regel speziell auf IT-Themen zutrifft), führt das automatisch dazu, daß nicht der Dienstleister den Zuschlag erhält, der erfahren ist und weiß, daß gute Software nach dem Eisbergschema gemacht wird (sichtbares Frontend ist dabei die Spitze, im Stillen gut laufendes System der Rest), sondern jemand, der 1. billig ist, 2. zusagt daß das ganze, egal wie unrealistisch das ist, nächste Woche fertig ist (bekanntlich muß es ja grundsätzlich schnell gehen, man will dem Wettbewerb ja nicht nachrennen), 3. die schönsten Powerpointfolien und den größten Bullshitbingo-Pokal hat.

    Versuch mal, irgendsoner Reisebude, die „ne tolle Community Site“ haben will, im Verkaufsgespräch zu sagen „nein. Frühestens in sechs Wochen, nicht für den Preis, nicht mit dem Funktionsumfang, aber dafür so sicher wie es nur geht“. Die lachen dich aus. Dann lieber später um sich beißen und wen auch immer hängen und evtl. noch ne schöne Neusprech-Pressemitteilung rauskleckern.

    Selbst oft genug erlebt, und zwar auch in richtig großer Firmen, die eigentlich sogar Ahnung von diesen Sicherheitsthemen haben SOLLTEN (und dann aber auch erwartungsgemäß aufs Maul geflogen sind).

  22. #33: Nach deiner Analogie würde dann der, der den Schlüssel abzieht und dir freundlicherweise vorbeibringt, beschimpft als Schlüsseldieb und mit Anwälten bedroht. Wenn das deine Vorstellung von einer anständigen Welt ist, hoffe ich, daß sie in einem Paralleluniversum real wird.

  23. Eine solche Datenlücke ist natürlich besonders für ein Unternehmen, welches sich an Jugendliche richtet, sehr blamabel. Aber ganz ehrlich: Wer Passwörter im Klartext speichert hat es nicht anders verdient.

  24. #22:

    Könnte es eventuell auch sein dass diese die Seite nur aus dem netz nehmen, genommen haben, weil die News aktuell an erster Stelle steht/stand. Die User die diese News gelesen haben klicken auf einen beigefügten Link oder suchen in Google nach dieser Firma, da ihr Interesse geweckt worden ist. Schade, Seite nicht erreichbar. Dann hab ich wohl pesch gehabt. 2 Tage später ist die News bei den meisten wieder in vergessenheit geraten, somit kann der natürliche Wahnsinn der Internetseite weitergehen.

    Ich zumindest kenne niemanden der sich News für mehrere Tage speichert, nur um eine dubiose Seite ansurfen zu können…

    1. @Dingens: Stimmt. Vor allem, wenn man in der Meldung folgendes liest:

      Betroffen waren lediglich die Profildaten der Community-Nutzer, die weder Anschrift, Telefonnummer, Reisedaten oder Kontoverbindungen enthalten. Bei diesen Aktivitäten waren zu keinem Zeitpunkt unsere aktuellen Kunden- oder Buchungsdaten in Gefahr bzw. betroffen.

      Da hilft ein Blick auf die andere Seite der Wahrheit in Form einer Heise-Security-Meldung, die heute ein Update in der Geschichte brachte: http://www.heise.de/security/meldung/Weiteres-Datenleck-bei-Ruf-Jugendreisen-910018.html

      Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.

  25. ich denke mal die ganze geschichte um die datenlecks, waren intern bestimmt bekannt, wurden aber vernachlässigt. das ganze ausmaß der datenlecks bei RUF-Jugendreisen, wird sich wohl erst in den kommenden wochen zeigen. mittlerweile ist der beitrag über RUF-Jugendreisen ja schon auf platz 2 unter dem KW jugendreisen, direkt hinter ruf.de … was ja wiederrum bedeutet das sich das thema noch schneller verbreiten wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.