Ich bin auf der Suche nach einem LiFePo4 Batteriespeicher und schaue mir die Apps der verdächtigen Hersteller genauer an.
Langsam wird es wirklich zum Running Gag, dass ich in einer freien Minute die HTTP Kommunikation von Apps anschaue und dort auf eine ganz bestimmte Sicherheitslücke im Zusammenhang mit falsch konfigurierten AWS S3 Buckets stoße, so wie auch bei Segway und Ecoflow.
Im aktuellen Fall wird meiner Zendure App beim Starten mitgeteilt, woher mein Userbild geladen werden soll. Der Pfad verweist auf einen Amazon AWS Server (nichts ungewöhnliches).
Zendure hat aber den Fehler gemacht das directory listing nicht zu deaktivieren, das heißt, wenn man auf das Stammverzeichnis des Buckets navigierte, erhält man die Gesamtstruktur aller Verzeichnisse und Dateien innerhalb des Buckets.
In der textuellen Übersicht lässt sich natürlich nicht navigieren aber via Regex lassen sich alle Pfade extrahieren und sich so eine Übersicht darüber verschaffen um welche Daten es hier geht.
Ich kann natürlich nicht darüber sprechen was dort alles lag aber als Zendure würde ich ALLES, wirklich ALLES daransetzen das dieses Problem binnen weniger Minuten schnellstmöglich zu lösen. Dafür würde ich persönlich die verantwortlichen Leute nachts um 3 aus dem Bett klingeln, wäre es meine Zuständigkeit.
Aber wie bekomme ich Kontakt zur richtigen Stelle bei Zendoor Zendure, die sich schnellstmöglich darum kümmern kann?
Es vergehen Monate
27. MaiI, 2023 Ich schreibe meine Erkenntnisse zusammen und schicke dem CTO von Zendure die Zusammenfassung via Linkedin. Einmal als Google Docs Dokument, damit ich weitere Erkenntnisse hinzufügen kann aber weil ich vermute, dass in China Google nicht so ein Ding ist füge ich die aktuelle Version noch als .pdf Dokument an. Ich bitte ihn sich bei mir zu melden. -Keine Rückmeldung (bis heute).
Am 11. Juni, 2023 22:29Uhr schreibe ich eine Mail an support@zendure.com und bitte um einen IT Security Kontakt bei dem ich eine Sicherheitslücke melden kann.
Am 15. Juni, 2023 04:42 Uhr bekomme ich Rückmeldung von Zendure:
„Solved“ also. Ich antworte darauf, dass mein Thema natürlich nicht behoben wurde und ich weiterhin Kontakt zum IT-Security Team haben will. Entweder das Ticket ist weiterhin offen oder es wurde „silently closed“. Ich erhalte nie wieder eine Rückmeldung von dem Ticketsystem.
Frustriert grase ich weiter Linkedin nach Mitarbeitern ab, die bei Zendure arbeiten und thematisch passen, sofern das ohne Linkedin Premium Subskription möglich ist:
Keine Rückmeldungen. Gar keine! Ich lasse niemanden aus und arbeite mich durch die komplette Hierarchie: CEO, Deputy General Manager, Software Engineers. Ich adde so ziemlich jeden Mitarbeiter, der im entferntesten mit IT zutun hat aber keine einzige Kontaktanfrage wird angenommen.
Letztendlich versuche ich es noch über die üblichen Social Media Kanäle aber auch dort bekomme ich keine Antwort.
¯\_(ツ)_/¯
Frustriert lasse ich die Sache ruhen und prüfe alle paar Wochen, ob ich weiter auf die Verzeichnisse komme.
Na endlich!
Mittlerweile ist es September. Also 4 Monate später und siehe da, es hat sich etwas getan. Das directory listing ist deaktiviert:
Einerseits freut es mich, dass die Lücke geschlossen wurde andererseits bin ich extrem frustriert und sauer auf Zendure keine einzige Rückmeldung bekommen zu haben, kein „wir schauen uns das mal an“ kein „danke“, einfach nichts. Geghostet von einer Firma.
Ob das Problem letztendlich durch meine Hinweise gefixt wurde, Zendure selber darauf gekommen ist oder sich jemand anderes inzwischen an ihren Unternehmensdaten bedient hat weiß ich nicht.
Ich für mich werde keine Sicherheitslücken mehr an Zendure melden und mich für einen anderen Batteriespeicherhersteller entscheiden.