Ct-Security: Unberechtigte können Piwik-Webseiten-Statistiken abrufen


#1

Meldung am heutigen 3.6.15 in c’t Security online:

"Installationen der Google-Analytics-Alternative Piwik sind häufig nicht korrekt konfiguriert und Dritte können ohne viel Aufwand Abrufstatistiken einsehen und sogar herunterladen. "
Quelle: Piwik: Unberechtigte können Webseiten-Statistiken abrufen | heise Security

Besteht Handlungsbedarf?


(Stefan Giehl) #2

Hm. Ich denke nicht.
Klingt für mich nicht nach einer Sicherheitslücke in Piwik.
Nicht vollständig abgeschlossene Installationen sind nicht nur bei Piwik ein Problem und wer anonymen Zugriff auf Piwik gestattet, sollte sich im klaren sein, wenn jemand Fremdes auch zugreifen kann.


#3

“Besteht Handlungsbedarf? - b.z.w. - Hm. Ich denke nicht.”

Unter Einstellungen- Administration ist für anonyme Benutzer kein Zugriff (grüner Hacken) gesetzt. Aber mir ist in der letzten Zeit aufgefallen, dass fremde Benutzer trotzdem bei meiner Piwik-Besucherstatistik rein kommen. Somit konnte ich genau sehen, welche Seiten aufgerufen worden sind, aber die nicht von meiner Webseite. Es wurden genau Statistiken von Piwik unter die Lupe genommen.

Ich glaube eher dass eine Sicherheitslücke besteht…


(Stefan Giehl) #4

Könntest du näher erleutern wie du festgestellt haben willst, dass “fremde Benutzer” in deiner Piwik-Besucherstatistik waren?
Insofern hier wirklich ein Problem besteht sollte das natürlich gefixt werden.


#5

Das habe ich schon länger mal festgestellt, indem eine Datei auf meinem Webserver aufgerufen worden ist, die schon gelöscht war. Zwar wenn ich mit der Maus auf die farbigen Kästchen drüber fahre, erscheint normalerweise der Name der Datei wie “index.html” Aber hier erschien dann “http://www.xxxxx.de/besucher/index.php?module=CoreAdminHome&action=generalSettings&idSite=1&period=day&date=yesterday

Wenn ich das Datum mit diesem komischen Aktionen gefunden habe, kommt hier ein Bild.