My Blog and Soapbox

To help order and sort some of the things in my mind, it often helps me to write them down. And this is the place I do just that. Not always related to photography. Not always in English. Manchmal auch auf Deutsch.
I have recently switched blogging platforms. Here is my new blog:
I have recently switched blogging platforms. Here is my old blog:

Sicherheitsloch: Outbank schreibt Klartext-Passwort ins System-Log

Outbank LogoIch nutze Outbank auf dem Mac für einfaches Banking und war bisher immer ganz zufrieden damit.

Nach dem aktuellen Update und der damit neuen iCloud-Sync-Funktion, die ich gleich mal ausprobieren wollte, hat sich das Programm dann allerdings auf meinem System etwas fehlerhaft verhalten und hat sich auf meinem Mac Pro beim Beenden aufgehängt.

Wie es sich für einen Geek gehört, bin ich bei der Fehlersuche natürlich auch im Sylog gelandet, denn dort schreiben viele Programme Hinweise über das, was sie gerade tun oder in welche Fehlermeldungen sie sich verheddert haben. Zu finden ist dieses Log und viele andere über das Programm Console, bzw. im Dateisystem unter /var/log/system.log

Zu meiner Überraschung (eher zu meinem Horror) steht dort jetzt mehrfach im Klartext (ja, KLARTEXT!!) mein OutBank-Passwort. Einfach so. Also ob es das normalste der Welt wäre, Passwörter unverschlüsselt in Logfiles zu schreiben.

Bin ich falsch informiert, oder ist dieses Vorgehen ein absolutes No-No? Zumindest fühlt sich das für mich wie ein scheunentorgroßes Sicherheitsloch an. Die zentrale System-Log-Datei ist kein Platz für Passwörter, schon gar nicht im Klartext!

Bis das repariert ist, kann ich nur jedem raten: Finger weg von Outbank!

Firma Stoeger IT, bitte umgehend reparieren.

Update: kurz nach meinem ersten Tweet hat sich Stoeger IT per Twitter gemeldet:


Shot340

Es bleiben auf meiner Seite einige offenen Fragen: wie schnell kommt das Update? Was passiert mit den bereits in der system.log abgelegten Klartextpasswörtern? Wird das Update von Outbank die system.log "reinigen"? OSX komprimiert und sichert über einen bestimmten Zeitraum automatisch alte Stände der system.log, was passiert mit diesen Sicherungen, bleiben die Klartextpasswörter darin erhalten?

Comments
See Older Posts...