Wochenrückblick KW 35
Diese Woche hat mir gezeigt, wie wichtig Impulse von außen sind. Die Erkenntnisse und Offenbarungen daraus haben oft weitreichende Folgen. Nur was hat das mit einem Bug-Bounty-Hunter zu tun? Lest selbst.
Ich schlendere gerne und erkunde die Gegenden, in die ich reise. Dabei sinniere ich über die Welt. Meist fallen mir To-dos ein. Selten habe ich wirklich neue Erkenntnisse. Gelegentlich sehe ich schöne Häuser und deren Gärten, was zu neuen Ideen für zu Hause führt.
Ähnlich war es diesen Sommer in Schweden. Mit der Familie fahren wir auf einer kleinen Fähre. Sie verbindet das Festland mit einer Insel. Dort wurde früher Kalk abgebaut. Heute stehen auf der einen Seite Häuser wohlhabender Menschen. Auf der anderen Seite ist es zerklüftet. Nach unserer Wanderung durch diese Idylle ist die Mittagszeit bereits herum, bis zum Abendbrot ist jedoch noch Zeit. Der perfekte Moment für Kaffee und Kuchen – oder wie die Schweden dies in einem Wort umschreiben: Fika.
Auf dem Hinweg ist uns ein kleines Haus mit Terrasse aufgefallen, das wie ein Café anmutete. Tatsächlich befindet sich im Erdgeschoss so etwas wie eine offene Wohnstube, in der der Eigentümer Kaffee, Kuchen, Eis und Zimtschnecken verkauft. Bevor ich nach zwei Tassen Kaffee losfahre, suche ich nach den Toiletten. Fündig werde ich im Obergeschoss. Doch dort ist noch viel mehr.
Kopfgeldjagd
In dieser Woche bekam ich eine Mail. Soweit zunächst nicht ungewöhnlich. Der Titel ließ mich aufhorchen Critical Security issue: Company Clerk API key disclosed in public github repo. Puh, das ist wohl Spam. Vor allem mit einer G-Mail-Adresse der Art name456@gmail.com. Solche habe ich bei meinem Newsletter zuhauf und die bestätigen das Double-Opt-in nie.
Ich hatte jedoch ein ungutes Gefühl. Also GitHub geöffnet und das Sociabli-Backup-Repo geprüft. In dem Moment saß ich zum Glück. Das Repository war (bewusste Vergangenheitsform) öffentlich. Alles, was darin abgelegt war, konnte von jedem ausgelesen werden. Nach einer kurzen Prüfung war klar: Das ist keine Spamnachricht, sondern ein freundlicher Hinweis eines Bug-Kopfgeldjägers.
Ab dem Moment lief die Arbeit auf Hochtouren. Sämtliche Secrets invalidiert, auch wenn damit der Dienst kurzfristig nicht verfügbar war. Danach die korrumpierten Passwörter neu erstellt und wieder eingerichtet. Dadurch, dass API-Schlüssel verfügbar waren, konnten zusätzlich noch die Konten ausgelesen worden sein, ohne dass wir das hätten nachvollziehen können. Viel hätte, nur war es ein mögliches Szenario. Also zusätzlich noch geprüft und entsprechend geändert, was durch die API zugänglich war.
Nach unserem Kenntnisstand wurde nichts durch Unbefugte verändert. Die Posts, die wir mit Sociabli crossposten, sind ohnehin öffentlich, weswegen diese Information nicht sensibel ist. Die Zugänge sind geändert und das Backup erfolgt ab jetzt in einem privaten Repository. Langfristig werden wir die Secrets aus dem Backup entfernen und separat und verschlüsselt sichern.
Als letzten Schritt werden Maurice und ich prüfen, wie die Situation überhaupt entstehen konnte. Dass solche sensible Informationen nichts in einem Backup, geschweige denn in einem öffentlichen Repo zu suchen haben, ist glasklar. Trotzdem ist in unserem Infrastructure as Code Rollout etwas schiefgegangen. Da werden wir nachbessern, dass das im Rahmen der Automatisierung verhindert und ein Alarm ausgelöst wird.
Das Atelier im Obergeschoss
Die Treppen hinauf habe ich zwei Türen erwartet. Eine für Damen und eine für Herren. Was mich erwartete, war etwas komplett anderes. Vor mir öffnete sich ein komplett offen gestalteter Dachboden voller Bilder. Vollkommen vergessen, was ich hier oben wollte, ging ich auf die Bilder zu. Die Bilder waren gruppiert in Sektionen. Innerhalb der Sektionen war die Art zu zeichnen jeweils komplett anders.
Meine neugierigen Blicke bemerkte ein Mann. Er kam auf mich zu und fragte mich etwas zu einem Bild. So kamen wir ins Gespräch. Er erzählte mir von seinen Inspirationen für die jeweiligen Inhalte. Eines der Bilder war eine Kombination aus sieben einzelnen Bildern, die ineinander übergingen. Ich fragte ihn, ob er eines Tages beschlossen hat, dieses Bild zu machen, oder ob er üben musste.
Seine Antwort war klar und eindeutig. Er macht Hunderte Versuche, die er wegwirft, bis er einen hat, den er für gut genug für die Ausstellung hält. Vorab hat er eine Idee bzw. einen Plan oder besser eine grobe Vorstellung, wie das Bild beschaffen sein soll. Darauf arbeitet er sich Bild für Bild vor, bis es für ihn reicht. Dann denkt er sich etwas Neues aus und beginnt von vorn. Dieser Künstler hat ein Growth-Mindset.
Mir hat dies gezeigt. So gerne ich alleine sinniere, so sinnvoll ist es doch zumindest gelegentlich, sich mit anderen – idealerweise Fremden – auszutauschen und über etwas nachzudenken.
