• Eigenständig gehostete oder lokal installierte Instanzen sind komplexer in der Einrichtung und Fehlerbehebung und erfordern daher kostenpflichtigen technischen Support. Kostenlosen Support erhalten Sie mit 3CX StartUP oder einer gehosteten 3CX-Installation mit einen unterstützten SIP-Trunk-Anbieter.

Klartext Passwort Willkommen Mail, also auch in DB?

martin.thomas

Premier Customer
Advanced Certified
Mitglied seit
28. Mai 2019
Beiträge
33
Hallo,
wenn ich als User die Konfiguration erneut anfordere bekomme ich mein Passwort im Klartext, auch wenn ich dieses geändert habe. Daraus schlussfolgere ich das die Passwörter im Klartext in der DB liegen. Das ist natürlich ein Sicherheitsrisiko und darf so nicht sein! Besser wäre wenn nur das Startpasswort einmal zugeschickt wird und bei jeder weiteren Konfigurationsanforderung bei Passwort "Wie von Ihnen vergeben" oder so steht. Dass PW sollte dann Verschlüsselt in der DB Liegen. Für den Fall das es Vergessen wurde kann ja eine entsprechende Restfunktion integirert werden....

@ 3CX Team: Ist das so? Liegen die PWs unverschlüsselt in der DB? Wann wird das geändert?
 
Hallo Martin,

Ja, das ist zur Zeit so.
Sie können diesen Vorschlag im Forum Ideas posten.

Beachte bitte, dass der Zugriff auf der management Konsole Sicher ist (authentication und encryption von https) und desweiteren ist database accessible nur über localhost mit authentifizierung.
 
  • Angry
Reaktionen: Theo Panzer
Hallo 3CX,

ich habe gestern mein selbst vergebenes Passwort von Ihrem System geschickt bekommen, was ja bestätigt, dass Sie die Passwörter speichern anstatt Passwort-Hashes abzulegen. Diese Form der Ablage ist fahrlässig, unsicher und unseriös (Kennen Sie eine Software/Anwendung, die Ihnen Ihr vergessenes Passwort per Mail schickt?).
Sie müssen Ihr System umgehend auf ein Hash-Verfahren umstellen, bei dem nicht das Passwort selbst, sondern nur ein Hash abgelegt wird, aus dem das Passwort nicht mehr rekonstruiert werden kann!

Zur Information:

Hierbei handelt es sich nicht um einen Vorschlag sondern um einen kritischen Bug, bzw. einen Designfehler in Ihrem System, der schnellstmöglich behandelt werden muss!

Mit freundlichen Grüßen

Tino Desjardins
 
  • Like
Reaktionen: certifiedit
Hallo,
ich möchte hierzu auch meinen Senf dazugeben.

Wenn man sich die Postgresql Datenbank anschaut , welche das 3CX System benutzt, stellt man in der Tat fest , dass die Passwörter,sowie sämtliche relevanten Zugangsdaten in Klartext gespeichert sind. Mein ursprüngliches Ziel war nicht die Sicherheit der Datenbank zu überprüfen, sondern ein Script zu schreiben , welches mir erlaubt , zu bestimmten Zeiten, bestimmte Nebenstellen zu aktivieren oder zu deaktivieren, sowie einen direkten Zugriff auf unserem CRM zu ermöglichen.
Was den Zugriff zur Datenbank angeht, hierfür benötigt man die entsprechenden Zugangsdaten, welche nur im 3CX Verzeichnis zu finden sind .
@Theo Panzer
Die 3CX - PBX sollte immer ein separates und autarkes System sein(z.B.in einer VM ), um eben die Sicherheit zu gewährleisten.Einen entsprechenden Schutz gegenüber Angriffen bieten hier Firewalls und das Schließen nicht benötigter Ports, sowie das Definieren von bestimmten Routen oder erlaubten IP's zur 3CX.
Was sehr oft versucht wird , ist ein Bruteforce auf die Sip-Accounts der Anlage, um später damit zu telefonieren. Die 3CX verfügt aber über einige Mechanismen , um dies zu unterbinden.
Die 3CX ist nicht sicherer oder unsicherer als ein Server oder eine TK-Anlage, wenn man entsprechende Vorkehrungen trifft.Dennoch, eine 100% ige Sicherheit wird es nicht geben.
Da selbst bei der Emailkommunikation SSL Zertifikate für gesicherte Verbindung zum entsprechendem Postfach dem Standard entsprechen, schätze ich persönlich das Risiko eines Mißbrauchs und das Bekanntwerden des Passwortes(welches im Klartext der Mail erscheint) als eher gering ein, immer vorausgesetzt das Passwort für das EMailKonto ist nur mir bekannt.
Als mögliche Maßnahme zum Schutz gegen Passwortklau wäre meine Empfehlung , die Willkommensmail nach Erhalt ausdrucken und danach löschen, denn sie kann vom System beliebig oft versendet werden .
Gruß
 
Hallo @wolfi,

danke für Deinen "Senf".

Ich rede hier nicht vom Zugangsschutz, sondern vom Schutz der Passwörter der Nutzer.

Passwörter,sowie sämtliche relevanten Zugangsdaten in Klartext gespeichert sind
Das bedeutet Du kannst die Passwörter aller Nutzer der Telefonanlage sehen, was allein schon ein Problem ist, denn dazu hast Du kein Recht! Vor allem haben die Nutzer noch nicht einmal das Wissen darüber, dass Du es weißt. Mit den Passwörtern und den Nutzerinformationen könntest Du auf andere Konten der Nutzer schließen (Web-Mail, Online-Shops) und entsprechenden Schaden anrichten. Die verschiedenen Szenarien brauche ich an dieser Stelle wohl nicht aufzählen. Da Du ein friedliebender Mensch bist machst Du das natürlich nicht. Also komme ich jetzt zum nächsten Schritt:
Die 3CX ist nicht sicherer oder unsicherer als ein Server oder eine TK-Anlage, wenn man entsprechende Vorkehrungen trifft.Dennoch, eine 100% ige Sicherheit wird es nicht geben.
Genau das ist der Punkt. Auch ein autarkes System schützt Dein System nicht vor einer Kompromittierung. Ist das der Fall und der Angreifer kommt auf die Datenbank hat er nicht nur Deine Zugangsdaten sondern auch die aller Nutzer und es ist dann davon auszugehen, dass er nicht so friedliebend ist wie Du.
Bei der Ablage von Passwort-Hashes kann das nicht passieren, da die Verschlüsselung nicht rückgängig gemacht werden kann. Dadurch sind die Passwörter der Nutzer bei einem erfolgreichen Angriff geschützt. So wird das in jedem seriösen System gehandhabt.

Kennen Sie ein weiteres System welches Ihnen Ihr selbst gewähltes Passwort per Mail zuschickt?

Da selbst bei der Emailkommunikation SSL Zertifikate für gesicherte Verbindung zum entsprechendem Postfach dem Standard entsprechen, schätze ich persönlich das Risiko eines Mißbrauchs und das Bekanntwerden des Passwortes(welches im Klartext der Mail erscheint) als eher gering ein, immer vorausgesetzt das Passwort für das EMailKonto ist nur mir bekannt.

Es braucht nur jemand neben Ihnen zu sitzen wenn Sie die Mail erhalten. Außerdem gibt es E-Mail-Verteiler und im Intranet wird meist sowieso kein SSL verwendet.

Als mögliche Maßnahme zum Schutz gegen Passwortklau wäre meine Empfehlung , die Willkommensmail nach Erhalt ausdrucken und danach löschen, denn sie kann vom System beliebig oft versendet werden .

Die einzige vernünftige Maßnahme ist die Verwendung von Hashes. Denn das Passwort der Nutzer darf nur an einem Ort gespeichert werden und das ist deren Gehirn.

Mit freundlichen Grüßen

Tino Desjardins
 
Hallo Theo,
Zitat :"Das bedeutet Du kannst die Passwörter aller Nutzer der Telefonanlage sehen, was allein schon ein Problem ist, denn dazu hast Du kein Recht! Vor allem haben die Nutzer noch nicht einmal das Wissen darüber, dass Du es weißt. Mit den Passwörtern und den Nutzerinformationen könntest Du auf andere Konten der Nutzer schließen (Web-Mail, Online-Shops) und entsprechenden Schaden anrichten."
Warum sollte ich als Administrator der Anlage kein Recht haben , die Passwörter einsehen zu können? Diese sind nicht personalisiert und werden vom System erstellt und nur der jeweiligen Nebenstelle zugeordnet( selbstverständlich könnte der Admin die Passwörter für die Nebenstellen ändern , aber welchen Sinn sollte das ergeben?). Ein Verweis auf möglicherweise andere Nutzerkonten z.B. des Nutzers der Nebenstelle 200 ist hier nicht gegeben und kann auch nicht hergestellt werden, da der Nutzer kein eigenes Passwort vergibt. Einzig und allein die Mailadresse ist das Bindeglied zwischen Nutzer und Anlagenaccount =Nebenstelle.
Wenn es um die Webauthenfizierung und dem Voicemailaccount geht, die Passwörter sind auch dem Admin nicht bekannt, diese können auch im Dashboard nicht sichtbar gemacht werden und ich vermute mal , das diese verschlüsselt in der Datenbank hinterlegt sind.
Wie ich oben schon schrieb , wer an die Zugangsdaten der Datenbank auf dem Server herankommt , kann sowieso nach gut dünken schalten und walten, dabei spielt es keine Rolle ob die Passwörter in Klartext oder in Hash gespeichert werden(in etwa vergleichbar mit dem hacken des PW für den Domainadmin in einer AD).
PS: ich arbeite nicht für 3CX und kritisiere auch so manche Sachen , wo ich mir sage, wieso hat man das nicht berücksichtigt und warum funktioniert das nicht , wenn es doch bei anderen längst Standard ist, aber das was Sie kritisieren, wird sogar bei anderen namenhaften Herstellern von Hardwaretelefonanlagen praktiziert und wenn ich mich recht erinnere, dürfte das auch alle auf Asterisk basierenden SoftPBXen zutreffen.

Gruß
 
  • Like
Reaktionen: 0michael0
Hallo @wolfi,

Diese sind nicht personalisiert und werden vom System erstellt und nur der jeweiligen Nebenstelle zugeordnet( selbstverständlich könnte der Admin die Passwörter für die Nebenstellen ändern , aber welchen Sinn sollte das ergeben?). Ein Verweis auf möglicherweise andere Nutzerkonten z.B. des Nutzers der Nebenstelle 200 ist hier nicht gegeben und kann auch nicht hergestellt werden, da der Nutzer kein eigenes Passwort vergibt.

Wie lange arbeiten Sie schon mit diesem System? Ich arbeite erst seit einer Woche damit und kann Ihnen sagen, dass Sie Unsinn schreiben.
Ich habe meine Zugangsdaten per Mail bekommen und konnte mich mit der Nebenstellennummer und dem initialen Passwort beim System anmelden. (@ilias_3CX ) Hier zeigte sich gleich die nächste Schwachstelle des Systems, denn der Nutzer wird bei der ersten Anmeldung nicht gezwungen das Passwort zu ändern.
Entgegen Ihrer Behauptung konnte ich das Passwort sehr wohl ändern, was ich ja hier bereits geschrieben habe. Weiterhin sind sehr wohl persönliche Daten hinterlegt wie Name, Vorname, Telefon und sogar Avatar.
Hier habe ich mein persönliches Passwort vergeben, da ich davon ausgehe, dass der Hash sicher hinterlegt wird und ich natürlich nicht will, dass der Admin oder wer auch immer mit meinem Account unterwegs ist. Dieses Passwort wurde mir später vom Administrator zugeschickt! Verstehen Sie das? Mein Passwort! Mein Passwort geht keinem etwas an.

Warum sollte ich als Administrator der Anlage kein Recht haben , die Passwörter einsehen zu können?
Keiner hat das Recht das Passwort eines anderen Nutzers zu wissen... schon gar nicht ohne sein Wissen! Die PIN Ihrer Geldkarte geben Sie ja schließlich auch nicht weiter.

Wie ich oben schon schrieb , wer an die Zugangsdaten der Datenbank auf dem Server herankommt , kann sowieso nach gut dünken schalten und walten, dabei spielt es keine Rolle ob die Passwörter in Klartext oder in Hash gespeichert werden(in etwa vergleichbar mit dem hacken des PW für den Domainadmin in einer AD).
Ich rede hier nicht vom Zugangsschutz, sondern vom Schutz der Passwörter der Nutzer.
Ich kann mich hier nur wiederholen. Es geht hier nicht um den Zugangsschutz! Haben Sie mal versucht aus dem AD die Passwörter auszulesen? Ich kann Ihnen sagen, dass Sie das nicht können... weil die Passwörter nicht hinterlegt werden, wie es bei seriösen System üblich ist.

Ich empfehle Ihnen einen Blick auf den von mir bereits verlinkten Artikel zu nehmen.

Mit freundlichen Grüßen

Tino Desjardins

P.S: Falls Sie zitieren möchten können Sie im Browser den entsprechenden Text markieren und die Schaltfläche "Zitieren" verwenden. So ist der Text besser lesbar.
 
Hallo ,
nochmal zur Klarstellung, wo bitte kann man ein eventuell selbst vergebenes Passwort , welches nur für den Webclienten zuständig ist, auslesen? Ich vermute hier , auf welcher Seite auch immer, ein Verständnisproblem. Die Zugangsdaten(Passwörter und ID) für eine Nebenstelle sind in Klartext für den Admin einsehbar. Das benötigte Passwort für den Webclienten, ja hier kann der Nutzer das Passwort ändern, ist für den Admin nicht einsehbar. Natürlich könnte man seine personalisierten Nutzerdaten inklusive Foto, welches dann bei einem Anruf erscheint , im Webclienten eingeben, aber wer das nicht möchte , der lässt es eben bleiben. bis auf die E-Mail Adresse ist keine weitere Eingabe nötig.Ich glaube , dass Sie die (bürgerlichen)Rechte des Objektes Nebenstelle in der 3CX mit einem Benutzer gleichsetzen und aus diesem Grund Kritik (ob berechtigt oder nicht) an der Art der Passwortspeicherung üben.

Schönen Abend noch
 
  • Like
Reaktionen: 0michael0
Hallo @wolfi,

nochmal zur Klarstellung, wo bitte kann man ein eventuell selbst vergebenes Passwort , welches nur für den Webclienten zuständig ist, auslesen?
Ich bin ein Anwender und nutze wohl den von Ihnen genannten Web-Client. Für mich ist das System eine Blackbox. Ich habe das System nicht installiert und administriere es auch nicht. Ob die Daten in einer PostgreSQL-Datenbank abgespeichert werden oder welche Daten der Admin einsehen kann und ob die Passwörter des Webclients separiert gespeichert werden kann ich Ihnen nicht sagen.
Das spielt in diesem Fall allerdings absolut keine Rolle, um zu sehen dass hier ein Sicherheitsproblem vorliegt!
Der Thread-Ersteller @martin.thomas - den ich persönlich nicht kenne - und ich haben erkannt, dass das System Passwörter an die Nutzer (per Mail!) verschicken kann, die sie selbst vergeben haben. Daraus lässt sich schließen, dass die Passwörter im System nicht sicher abgespeichert werden. Die Passwörter werden entweder gar nicht oder unsicher verschlüsselt, was als fahrlässig angesehen werden kann.
Dass die Passwörter sogar unverschlüsselt abgespeichert werden haben @3cx und Sie ja bereits bestätigt:

@ 3CX Team: Ist das so? Liegen die PWs unverschlüsselt in der DB? Wann wird das geändert?
Ja, das ist zur Zeit so.
Wenn man sich die Postgresql Datenbank anschaut , welche das 3CX System benutzt, stellt man in der Tat fest , dass die Passwörter,sowie sämtliche relevanten Zugangsdaten in Klartext gespeichert sind.

Damit gehört 3CX zu den Plain Password Offenders

@ilias_3CX @3cx Gern füge ich Ihr System der aktuellen Liste hinzu.

@wolfi https://plaintextoffenders.com/about/

Selbst wenn das System eine (unsichere) Verschlüsselung verwendet sind die Passwörter nicht sicher, weil sie durch das System entschlüsselt werden können.
Da wir wissen, dass das System alle Informationen zu einem Account zusammentragen kann (Webclient), wissen wir auch, dass diese Informationen bei einer Kompromittierung ebenfalls zugeordnet werden können.
Gerade bei großen Nutzerdatenbanken wäre das fatal!

Beachte bitte, dass der Zugriff auf der management Konsole Sicher ist (authentication und encryption von https) und desweiteren ist database accessible nur über localhost mit authentifizierung.
Das sollte auch so sein aber das schützt Sie nicht vor einer Kompromittierung. Sicherheitslücken im Betriebssystem oder Konfigurationsfehler von Administratoren sind schon ausreichend und diese können Sie nicht ausschließen. Hierzu sei auch die Blamage von T-Mobile genannt.

@ilias_3CX Gern hätte ich hier eine Antwort von @3cx wann Sie gedenken das Problem zu beheben, denn die Behebung sollte aus Ihrem eigenen Interesse an oberster Stelle Ihrer Todos stehen.

Mit freundlichen Grüßen

Tino Desjardins
 
Hallo 3CX Team, @ilias_3CX

auch wenn dieses Thema bereits ein Jahr ruht, würde mich aufgrund der wachsenden Bedrohungslage und der Compliance-Anforderungen interessieren, ob es zu diesem Thema neue Erkenntnisse und/oder einen neuen Stand gibt?

Danke.
 
Würde mich auch interessieren...
 
Hallo,

vorab würde ich euch gerne informieren, das Emails über(over) TLS 1.2 versendet werden.
Somit DATA in-transit geschützt.
Für weitere Informationen bezüglich Sicherheit, Passwörter etc. würde ich euch bitten [email protected] zu kontaktieren(Sicherheits Department)
 
Ich habe hier auch noch 5ct beizusteuern:
Ich denke, ähnlich wie der Wolfi in diesem alten Thread, dass, so der 3CX server ausreichend geschützt ist, die Aufbewahrung von Passworten in der Datenbank in Plaintext nützlich ist, und auch akzeptabel. Dem Admin muss man vertrauen, denn der darf sowieso alles.
Die Speicherung im plaintext in der Datenbank und die übermittlung der login Daten sind aber zwei unterschiedliche Dinge.
Obwohl die Aussage von avraammich_3CX sicher korrekt ist, dass die Mails transport gesichert sind, heisst das noch lange nicht, dass diese Daten nicht mitgelesen werden können, denn einmal wird email ggf. über mehrere Zwischenstationen geschick -somit hat der sender keinen Sicherheit dass überall TLS verwendent wird, und auf jeder dieser Hops liegt die Email zwischengespeichert als Plaintext vor. Ebenso liegt die im Postfach des Providers der das Mail empfängt als plaintext vor.Will man wirklich privates Mail, dann kann man nur mit S/Mime oder ähnlichen Techniken arbeiten. Transport Verschlüsselung ist Selbstbetrug - zumindest wenn man denkt, kein anderer könnte da reinkucken. Im falle einer 3CX PBX die mit dem Mailserver von 3CX arbeitet, hat sowohl die Fa. 3CX (bzw, google die 3CX hosten) als auch der Mailserver des Empfänger vollzugriff auf die Daten.
Hier würde wirklich nur die Prozedur helfen, eine Transport PIN zu versenden, und den Benutzer zu zwingen, diese sofort (über einen gesicherten Weg) zu ändern. Erst dann ist sicher, dass keiner ausser dem Benutzer das login weiss.
Bei Paranoia, daher keine Mails versenden, sondern dem Benutzer das Login persönlich mitteilen.
 
Zuletzt bearbeitet:
Hallo,

den Vorschlag mit dem Startpasswort oder einfach das Versenden eines Links um das Passwort vom Benutzer selber setzen zulassen, halte ich für ein gutes Feature und wäre state of the art.
 
  • Like
Reaktionen: certifiedit
Hallo zusammen,

ich beginne gerade die 3CX Anlage bei uns einzuführen und bin auf diese Problematik gestossen. Alleine, dass das Passwort im Klartext in der E-Mail versendet wird, ist bereits ein Problem, geschweige denn, dass das Passwort als BCrypt in der Datenbank hinterlegt sein sollte, egal wie gut die Datenbank geschützt ist. Es gibt genug Fälle, bei der die Daten einer eigentlich geschützten Datenbank exportiert wurden, und somit alle Daten verfügbar waren.

Das mit dem V18 Windows Client die Config Datei nicht mehr benötigt wird ist schon gut, nur sollte auf keinen Fall das Passwort in der E-Mail stehen!

+1 für: E-Mail mit Initialpasswort und notwendiger Änderung nach dem Login

Gruß
Freddy
 
Hi,

für weitere Informationen zu diesem Thema genre unseren Datenschutzbeauftragten kontaktieren:
[email protected]
 
Hi,

aus meiner Sicht hat das nichts mit Datenschutz zu tun. Passwörter dürfen nicht lesbar gespeichert werden, auch nicht als Hash, der jedes mal gleich ist (zB SHA), egal auf welchem Server sie gespeichert sind.
 
Hi Freddyvdh,

richtige Kontakt Person : [email protected]
Ich glaube, es wäre sinnvoll, die gesammelten Bedenken zu nehmen und intern weiterzuleiten. Danach eine Antwort erarbeiten und hier posten. Warum soll sich jeder User einzeln per Mail an 3cx wenden, wenn wir hier einen persönlichen Ansprechpartner haben, der das gesammelt weiterleiten kann?
Die Problemstellung kann ich nachvollziehen. Es wäre schön, ein grundsätzliches Statement hier zu bekommen.

Ich verstehe, dass da der Datenschutzbeauftragte von 3CX Stellung beziehen muss. Interne Zuständigkeitsschwierigkeiten sollten aber eigentlich nicht so "transparent" hier im Forum entblößt werden ;)

In dem Sinne: Vielleicht bekommen ja auch alle Mitlesenden hier mal eine Antwort, ohne dass jetzt jeder separat eine Mail schicken muss.
 
hast Du eine Antwort bekommen `??
 
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.