Kürzlich kaufte ich mir eine Ecoflow Wave 2 Klimaanlage. Da Ecoflow keine API für das Gerät bereitstellt, überprüfte ich den Datenverkehr der Ecoflow App genauer, um selbst eine Integration für meinen Home Assistant zu bauen. Zu meiner Überraschung stieß ich auf Zugangsdaten zum Alibaba Object Storage Service von Ecoflow. Mit diesen Zugangsdaten konnte ich nicht nur meine eigenen Dateien einsehen, sondern auch Unternehmensinterna und sogar die Benutzerdaten anderer Nutzer waren sichtbar.
Wie komme ich an die Zugangsdaten?
Mit der App Proxyman habe ich mir den Datenverkehr der Ecoflow App mitgeschnitten während ich das Gerät gesteuert habe und in der anschließenden Analyse sind mir zwei spezielle HTTP-Responses aufgefallen, die auf einen Alibaba Object Storage Service (OSS) hindeuteten.
Hier einmal die Verbindungsdaten zum Alibaba Object Storage Service:
Und die passenden Zugangsdaten gleich hinterher:
Das ist nichts ungewöhnliches. Normalerweise führen diese Zugangsdaten zu einem persönlichen Userbereich wo man sein Profilbild hochladen kann oder wo die App ihre Logdateien hinschreiben kann.
Aus Neugierde habe ich mich mit den Zugangsdaten im OSS Client Browser von Alibaba angemeldet und bin nicht, wie erwartet in meinem Userbereich gelandet, sondern in einer großen Ordnerübersicht.
Damit nicht genug, ich konnte eine Ebene hoch navigieren und hatte die Übersicht vieler vieler Buckets vor mir:
Es blieb nicht nur bei Leserechten in allen Bereichen. Auch Schreibrechte waren vorhanden und ich konnte in allen Buckets frei navigieren.
Bin ich selbst betroffen?
Zumindest mein eigenes Profilbild wollte ich sehen und bin zu dem Pfad navigiert, der auch in meiner App aufgerufen wird, wenn ich mein Profil geöffnet habe. Hier liegt mein Profilbild aus der App:
Benennt man die Datei von .image nach .jpg um sehe ich ein Profilbild.
Wie geht es weiter?
Konfigurationsfehler passieren, aber das muss schnell behoben werden. Da liegen Unternehmensdaten – und auch Benutzerdaten offen herum, weil die Rechte nicht in dem Ordner enden wo sie enden sollten.
Kontaktaufnahme mit Ecoflow
In der IT-Welt gibt es einen etablierten Standard, den RFC 9116, um Sicherheitsprobleme melden zu können. Leider hat Ecoflow diesen Standard nicht umgesetzt, was die Suche nach dem richtigen Ansprechpartner sehr schwierig machte. Ich kontaktierte alle Support-E-Mail-Adressen, die ich finden konnte, sowohl für die EU, USA als auch China. Zusätzlich beschrieb ich mein Problem im Website-Chatsupport, ohne ins Detail zu gehen, mit der Bitte, dass sich die IT-Sicherheitsabteilung mit mir in Verbindung setzen soll.
„Man würde sich bei mir melden“.
Es gab keinerlei Reaktion von Ecoflow. Niemand fühlte sich zuständig, und weitere Tage vergingen ohne jegliche Rückmeldung.
Schließlich wurde ein einzelnes Standardticket erstellt, in dem stand, dass man sich innerhalb von 1-2 Tagen melden würde. Aber auch nach Ablauf dieser versprochenen Frist gab es keine Reaktion.
Ich war langsam verzweifelt. Das Problem sollte schnell behoben werden, aber mittlerweile war bereits eine Woche vergangen, ohne eine einzige Reaktion von Ecoflow.
Einige Personen hatten Ecoflow als Arbeitgeber auf LinkedIn angegeben, jedoch konnte ich sie ohne eine LinkedIn Premium-Mitgliedschaft nicht direkt anschreiben. Also entschloss ich mich, eine LinkedIn Premium-Mitgliedschaft zu erwerben.
Ich begann alle möglichen Personen auf LinkedIn anzuschreiben, die thematisch in die technische Richtung passten.
Schließlich erhielt ich Feedback von einer einzigen Person, die mich auf ihre Unternehmens-E-Mail verwies. Dort schickte ich einen Screenshot als Beweis, der bei den betreffenden Personen Alarm auslösen sollte, und bat um Kontaktherstellung mit der IT-Abteilung.
Weiter keine Rückmeldung von Ecoflow
Es vergingen wieder viele Tage und in einer freien Minute versuche ich mich nochmal in den OSS einzuloggen. Siehe da. Ich kann mich nicht mehr einloggen:
Jemand hat also reagiert und die Rechte angepasst.
Do you even communicate?
Ich warte auf Reaktion von Ecoflow aber es kommt nichts. Ich schreibe meine Kontaktperson bei Ecoflow via Mail wieder an:
„…danke fürs fixen, können Sie mich bitte mit den Leuten aus der IT connecten?“
Als Antwort kommt ein kurzer Absatz
„Danke für den Hinweis, Ihr Feedback hat entscheidend zur Lösung des Problems beigetragen. Ich wünsche Ihnen ein schönes Wochenende.“
Ok, warte… warte… warte… ein $1Bn Unternehmen speist jemanden, der sich viele Stunden mit ihren Problemen beschäftigt, und ein responsible disclosure Verfahren durchführt mit „Danke, schönes Wochenende“ ab?
Ich hake nach, ob es ein Bug Bounty Programm von Ecoflow gibt, wo ich mich wenigstens als Sicherheitsforscher verdingen kann um mir eine Reputation aufzubauen.
Plattformen wie z.B. HackerOne sind genau für solche Sicherheitsthemen da, damit man sich als Sicherheitsforscher eine Reputation aufbauen kann. Dort können Firmen Sicherheitsforscher offiziell rewarden, wenn sie im responsible disclosure Verfahren Fälle melden.
Als letzte Antwort erhalte ich das Angebot 50$ und einen 30% Gutschein für den Onlinestore zu bekommen. Der Impact wäre minimal gewesen und sie sehen das Problem als low-risk scenario an.
Das ist nicht die Art von Anerkennung, die ich mir erhofft habe und lasse es jetzt auch endgültig bleiben und bin unglaublich frustriert.
Bei meinen Fall mit Segway, wo ich ein ähnliches Sicherheitsproblem entdeckt habe, lief die Kommunikation so viel besser und vertrauensvoller ab. Ich hatte dort direkt mit der IT-Abteilung zutun. Die Kommunikation verlief sehr offen und dort war man über die Meldung unglaublich dankbar. Auch wurde ich in dem gesamten Prozess auf dem Laufenden gehalten. Das war trotz ein paar Startschwierigkeiten letztendlich eine gute Erfahrung.
Ecoflow hingegen wird von mir keine Sicherheitslücken mehr gemeldet bekommen.