Thema: Krasse Sicherheitslücke bei blazingfast.io?

Moinsen,

Ich wollte heute mein Projekt porn-reactor.bz auf seine neue Domain freexxx.to transferieren. Dazu gehörte auch ein Umzug der Daten auf einen anderen Webspace.
Da ich keine wirklich schnelle Internetverbindung habe und das Backup der Seite ca. 1 GB groß ist wollte ich den Support von blazingfast.io bitten den Inhalt vom porn-reactor.bz Webspace auf den neuen Webspace zu transferieren.

Das taten sie freundlicherweise auch.

Das Problem: Ich bin weder der Besitzer vom Webspace noch von der Domain der porn-reactor.bz Seite.

Ich habe einfach via Support gefragt ob die den Content transferieren. Hab nur gesagt das ist mein Projekt und zack war ein Backup drüben.

Was soll ich davon halten?

LOL. Vermutlich.

Es ist denk ich nicht besonders toll wenn man einfach fremde Webseiten "übernehmen" kann indem man sagt sie gehört einem.

porn-reactor.bz Webspace: nicht meiner
freexxx.to Webspace: meiner

Denke kaum das Blazingfast einfach so mal eben alles macht ohne zu überprüfen ob man auch der Inhaber ist.

Scheinbar doch.

Es geht nicht darum, dass er eigentlich Legitimierung/Zugriff auf beides hat. Das Problem scheint darin zu bestehen, dass das seitens von BF nicht geprüft wurde, ob die Anfrage legitim ist.

Es geht, wenn ich ihn richtig verstehe, nicht um die Accounts.
Account A fragt an, ob er Daten von Account B in seinen Account bekommen kann. In dem Fall hatte er zufällig Zugriff auf beide Accounts. Blazingfast hat diesen Umstand allerdings wohl nicht überprüft. Das legt nahe, dass er die Daten einer beliebigen Seite (zu der er keinerlei Beziehungen hat) hätte anfragen können.

Viel Erfolg.

Genau. Also.

Ich habe Zugriff auf den Cpanel Account der Domain porn-reactor.bz da das quasi auch mein Projekt ist.
Aber ich habe keinen Zugriff auf den Client Panel Account von diesem Webspace. (Das Panel bei blazingfast über das die Buchungen laufen und Support Tickets geschrieben werden)

Ich habe von meinem Account eine kleine Anfrage an Blazingfast geschrieben ob es möglich wäre den Inhalt von dem anderen Webspace auf den neuen der mir zugeordnet ist zu schieben.
Meine Annahme war das sie mich darum bitten das der Owner des porn-reactor.bz Webspaces denen ein Support Ticket schreibt das dieser Vorgang ok ist.

Zurück kam ich soll es doch selbst machen da ich ja via Cpanel ein Backup laden kann. Ich erwiderte das mein Internet lahm ist und ob es da keine Möglichkeit gebe. Plötzlich informierte mich VTK das man sich ein Backup laden kann. Und tatsächlich unter freexxx.to lag eine .tar mit dem Backup der Seite.

omfg

Eventuell ist mein übelst krasses Englisch schuld?

Ich

Hi,

thanks for enable SSL and disable DDOS Page.

My page (porn-reactor.bz) is on another BlazingFast Account.
I want to ask if its possible for you to copy the content from the other webspace to this webspace?

greetings

Er

Nikolay Butov / Support Engineer

Hello,

you can do it manually with FTP client (copy files to your home PC and then to another webspace).

Best regards,
Blazingfast Team

Ich

Hello,

i have limited internet connection speed. so down and ! upload of gb of iles will take many time

Er

We uploaded archive with your files in public_html folder.
You can extract it now.


Best regards,
Blazingfast Team

Ja ich weiß englisch gut!

Oi! Wusste gar nicht das sowas geht.

Ich dachte nur so down & upload von x GB nö! Also hab ich den Support angehauen. Sollen mal was tun für ihr Geld

Das Problem ist ja, das Sicherheitsproblem hinter dem Sicherheitsproblem.

Die Nulpen haben das Archiv so hochgeladen das es direkt via Browser bei Aufruf der Domain freexxx.to erreichbar war. Jeder der Zugriff auf die Domain hatte hätte sich das Skript laden können. Maybe ist mein Projekt Baby jetzt public und wird demnächst verkauft. Dann gibt es mal wieder Qualitätsware xD