In der letzten Woche bekamen wir den Anruf eines Kunden. Er teilte uns mit, dass er in einer Mietwohnung eine Tahoma-Box betreibt und seinem Mieter für die Nutzung Benutzername und Passwort zur Verfügung gestellt hat.
Da nun ein Mieterwechsel erfolgte, wollte unser Kunde das Passwort für den Zugriff auf die Tahoma-Box ändern.
Hierzu loggt man sich auf der Seite Somfy.de ein und klickt auf „meine Daten Ändern“. Dort wird man aufgefordert, das alte, sowie zwei Mal das neue Passwort einzugeben.
Dieser Vorgang scheint auch zu funktionieren. Der Login auf Somfy.de klappt in der Folge ausschließlich mit dem neu gewählten Passwort.
Unser Kunde stellte dann allerdings fest, dass er sowohl beim Login über www.tahomalink.com als auch über die App BEIDE Passwörter benutzen konnte. Der Zugriff ist also über das alte und das neue Passwort möglich. Sein ehemaliger Mieter hatte also noch vollen Zugriff auf alle io-Komponenten.
Wir konnten das Problem mit unserer eigenen Tahoma-Box nachvollziehen. Auch hier waren nach der Änderung des Passwortes das alte und das neue für den Zugriff auf die Tahoma-Box gültig.
Das Sicherheitsproblem haben wir direkt an Somfy gemeldet. Dort konnte man die Problematik ebenfalls nachvollziehen und will das Problem so schnell wie möglich lösen.
Wurde das Problem inzwischen behoben?
Die scheinen allgemein Probleme zu haben mit ihrer Account-Verwaltung… Unter https://www.tahomalink.com/enduser-mobile-web/steer-html5-client/tahoma/? kommt man nach der Änderung der E-Mailadresse nicht rein, über den Umweg vom Mein Somfy dann trotzdem.