Fehler in Echtzeitbenachrichtigungen

Hallo Bisafans,

nachdem wir heute ein Update an dem Dienst für die Echtzeitbenachrichtigungen vorgenommen haben, wurden Informationen über neue Benachrichtigungen durch einen Programmierfehler an jeden Besucher (inkl. Gäste) des BisaBoards versendet anstatt sie nur an den tatsächlichen Empfänger der Benachrichtigung zu versenden.

Der Dienst für die Echtzeitbenachrichtigungen ist für die grüne Informationsmeldung „Sie haben neue Benachrichtigungen erhalten“ und beispielsweise für Meldungen über neue Antworten im gerade geöffneten Thema zuständig. Entsprechend äußerte sich der Fehler äußerlich dadurch, dass die Meldung über neue Benachrichtigungen aufgetaucht ist, tatsächlich aber keine Benachrichtigung zur Verfügung stand.

Auch wenn die grüne Informationsmeldung lediglich über die Eingang einer neuen Benachrichtigung informiert, enthält die tatsächlich an den Webbrowser übermittelte Nachricht zusätzliche Informationen, insbesondere den Titel der Benachrichtigung. Technisch sieht eine solche Nachricht vom Echtzeitserver an den Webbrowser etwa wie folgt aus:

{"message":"<strong>Bisafan</strong> hat die Konversation <strong>Hallo</strong> gestartet.","author":"Bisafan","link":"https://community.bisafans.de/index.php?conversation/615092-hallo/"}

Diese Informationen wurden an jeden zu diesem Zeitpunkt mit dem Echtzeit-Server verbundenen Browser-Tab versendet und waren somit in der Theorie für Dritte zugänglich. Allerdings werden die Daten ohne Anzeige verworfen, nachdem sie vom Browser verarbeitet und die grüne Informationsmeldung angezeigt wurde. Entsprechend wäre es notwendig gewesen, genau zum Zeitpunkt des Versands der Benachrichtigung die „Rohdaten“ der Kommunikation zwischen dem Webbrowser und dem Echtzeit-Server einzusehen, um diese Informationen einsehen zu können. Eine derartige Möglichkeit besteht durch die sogenannten „Entwickler-Tools“ des Webbrowsers und benötigt außer der technischen Kenntnis keine besonderen Tools.

Das Update auf die neue Version wurde am heutigen Montag, 30. August 2021 erstmalig um 19:24:19 eingespielt, um 19:26:00 aufgrund eines anderen Fehlers rückgängig gemacht und anschließend um 19:31:58 erneut eingespielt. Nachdem wir eine größere Anzahl von Meldungen über fehlerhafte grüne Informationsmeldungen erhalten haben, haben wir den Dienst um 20:43:43 vorläufig gestoppt, um das Problem zu analysieren. Seit 22:10:23 ist eine korrigierte Version, die diesen Fehler nicht mehr enthält aktiv.

Die fehlerhafte Version war also im Zeitraum von 19:24:19 bis 19:26:00 und im Zeitraum von 19:31:58 bis 20:43:43 für insgesamt etwa 74 Minuten aktiv. Benachrichtigungen die in diesem Zeitraum neu erstellt oder aktualisiert wurden (etwa zur Aktualisierung der Zahl bei „und X weitere Benutzer“) waren entsprechend von diesem Fehler betroffen. Diese Aktualisierung um weitere Benutzer betrifft ausschließlich Benachrichtigungen die noch nicht als gelesen markiert wurden. Benachrichtigungen die bereits gelesen wurden, werden nicht mehr aktualisiert.

In vielen Fällen enthält der Inhalt der Benachrichtigung keine privaten Informationen, etwa dann, wenn über eine Erwähnung in einem privaten Thema oder über einen neuen Pinnwandeintrag informiert wird. Wie im obigen Beispielcode zu sehen, ist aber potentiell der Titel und Gesprächspartner von Konversationen einsehbar gewesen.

Wir halten es für äußerst unwahrscheinlich, dass jemand im betroffenen Zeitraum einen Blick in die Rohdaten der Kommunikation geworfen hat und entsprechend das Risiko dafür, dass die Informationen auch tatsächlich von Dritten eingesehen wurden für gering. Naturgemäß können wir dies aber nicht vollständig ausschließen. Entsprechend möchten wir mit dieser News über den Vorfall informieren.

Gerne stehen wir bei Unklarheiten für Rückfragen zur Verfügung.

Im Namen der Administration

Tim Düsterhus

Technischer Administrator