Was Flamenco und Cheerleading mit Spam und Sicherheit zu tun haben

Sicherheit ist eines der wichtigsten Themen in der Web-Entwicklung, und das nicht erst seit dem NSA-Skandal und dem Heartbleed-Bug, der letzte Woche öffentlich wurde. In unserer Team-Datenbank unter http://training.hamburg-beach.de sind schon heute nahezu 20.000 User mit ihren persönlichen Daten enthalten. Daher möchte ich heute darstellen, welche Anstrengungen wir unternehmen, um die Sicherheit eurer persönlichen Daten zu gewährleisten.

Mit Sicherheit habt ihr letzte Woche verfolgt, dass die „alte“ Teamdatenbank seit etwa zwölf Jahren existiert. Im Fußbereich der Seite ist jederzeit transparent zu sehen, dass sich mittlerweile 2.935 Teams für eine Teamliste entschieden haben. 

Wie ich jedoch durch eine kleine Datenbankabfrage feststellte, liegt die Anzahl der gesamt registrierten Teams deutlich höher, nämlich bei 4.078 Teams, was einer Aktivierungsquote von knapp 72% entspricht. Andersherum gesprochen, sind 28% der registrierten Teams nicht aktiviert! 

Bei der Anmeldung wird sichergestellt, dass es sich um eine existierende Person handelt

Bevor wir uns den Ursachen nähern, muss man verstehen was ein aktives Team von einem nicht aktiven unterscheidet, daher erkläre ich hier kurz, wie die Aktivierung funktioniert:

Wenn ein beliebiges Teammitglied, egal ob Coach, Mannschaftskapitän oder Mitspieler, eine neue Mannschaft anmeldet, wird zunächst in der Teamdatenbank das Interesse registriert und eine E-Mail zur Bestätigung an den neuen „Administrator“ rausgeschickt. Erst wenn der in der E-Mail enthaltene Aktivierungslink geklickt wird, gilt das Team als aktiv und der Team-Admin erhält Zugriff auf die neue Teamliste. Damit ist sichergestellt, dass die E-Mail-Adresse des sich anmeldenden wirklich existiert und die anmeldende Person auch Zugriff auf den jeweiligen E-Mail-Account hat.

Nun kommt es offenbar und offensichtlich (in 28% der Fälle!) vor, dass das Team nicht aktiviert wird. Ein möglicher Grund dafür ist, dass es teilweise Verwechslungen gibt zwischen dem Login-Formular und dem Registrierungsformular für neue Mannschaften, die sich beide nebeneinander auf der Startseite befinden. Insbesondere für neue Mannschaftsmitglieder, welche die Startseite noch nie gesehen haben und von ihrem Team-Administrator hinzugefügt worden sind, ist die Verwechslungsgefahr gegeben. (Exkurs: Hier werden wir in unserer neuen Lösung teambird.de mit einer klarer gestalteten Startseite aufwarten. Aber das ist heute gar nicht das Thema.)

„Spambots“ treiben die Anzahl der registrierten Teams in die Höhe

Es gibt aber scheinbar noch eine weitere Ursache, die zu der hohen Anzahl an nicht aktivierten Teams führt: Spambots! Also Computerprogramme, die Spam in öffentlich zugänglichen Foren oder Gästebüchern hinterlassen.

Insbesondere, wenn man sich den Anteil der nicht aktivierten Teams pro Sportart anschaut, gibt es interessante Erkenntnisse:

Einsamer Spitzenreiter ist „Flamenco“: 222 von 223 Teams sind nicht aktiv, angelegt ausnahmslos mit nicht sprechenden Namen wie „onzucxe5410“ oder „vaksMawsCok“. Das eine aktive Team hat jemand mit einer polnischen E-Mail-Adresse angelegt, der aber seitdem (August 2013) keine weitere Aktivität in der Teamliste  gezeigt hat.

Screenshot Team-Datenbank
Merkwürdiges Flamenco-Team

Für den zweiten Platz haben sich die Spammer gerade in den letzten Tagen die Sportart „Cheerleading“ ausgesucht, wenn auch in geringerer Zahl: Insgesamt sind 13 Teams registriert, von denen jedoch nur drei aktiv sind. Immerhin handelt es sich hierbei um echte Cheerleading-Teams wie die Legionaries Cheerdancer oder die Unique Dancer Seniors . Die anderen zehn Teams sind tatsächlich erst in der letzten Woche hinzugekommen.

Der dritte Ausreißer nach oben ist übrigens die Sportart „4-Cross“, wobei ich selbst erst einmal Wikipedia befragen musste, was das ist – nämlich eine Mountainbike-Renndisziplin, bei der vier Biker gegeneinander antreten.  Da 4-Cross aber die erste Sportart in unsere Auswahlliste ist, handelt es sich hierbei scheinbar um die schnellste Möglichkeit, sich eine eigene kleine Test-Teamliste anzulegen und keine böse Absicht.

Mögen Spambots Cheerleader und Flamenco-Tänzerinnen?

Warum sich die Spammer gerade Flamenco und Cheerleading aussuchen, ob es vielleicht etwas damit zu tun hat, dass beide Sportarten mehrheitlich von Mädchen und Frauen ausgeübt zu werden (warum sind sie damit empfindlicher für Falsch-Anmeldungen)? Ehrlich gesagt habe ich keine Ahnung.

Nun ist Spam, wie man ihn bei E-Mails und Kommentaren im Netz beobachten kann, zwar ärgerlich aber zu verschmerzen. In unserem Fall jedoch gibt er mir zu denken. Denn eines steht fest: Unsere Team-Verwaltung mit ihrem kompletten und simplen Selbst-Service

  1. Team anlegen und aktivieren
  2. Mannschaftsmitglieder hinzufügen / einladen
  3. Fertig

steht permanent unter Beschuss von außen – wie jede andere größere Community oder jeder Online-Shop, jede Verlagsseite im Internet auch. Und offenbar reicht der derzeitige Spam-Schutz in Form des Captchas nicht aus, um all die Bots abzuwehren.

Welchen Zweck könnte nun eine solche Fake-Registrierung haben? Die so genannten Bots, automatische Spam-Roboter, versuchen damit, sich einen Zugang zu den Inhalten hinter der Registrierung und Anmeldung zu verschaffen. Zu den Daten, die geschützt in unserer Datenbank liegen und nicht im Frontend abrufbar sind, solange man kein registriertes Mitglied ist. (Und auch ein Teammitglied hat nur Zugriff auf die Daten seiner Mannschaftsmitglieder.) Darüber hinaus sind Passwörter nicht im Klartext in der Datenbank gespeichert, sondern mit einem speziellen Verfahren verschlüsselt. Bisher konnten wir sämtliche ernst gemeinten Versuche erfolgreich abwehren.

teambird nimmt die Verantwortung für eure Daten ernst

Dennoch ist uns klar, dass wir eine große Verantwortung für eure Daten haben. Auch aus diesem Grund werden wir in unserer neuen Online-Teamverwaltung teambird.de weitere Maßnahmen einbauen, um die Datensicherheit zu garantieren.

In diesem Zuge haben wir auch unsere Datenschutzbestimmungen aktualisiert und stellen euch diese schon heute, also weit genug vor dem Start von teambird.de als Entwurf zur Verfügung.

Eines wird sicherer: teambird.de

... weitersagen...Share on facebook
Facebook
Share on twitter
Twitter

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert