CCC: Unsichere Webserver bei Bundesfinanzagentur

CCC

Unsichere Webserver bei Bundesfinanzagentur

Der Chaos Computer Club hat eigenen Angaben zufolge schwere Sicherheitslücken bei der Konfiguration der Webserver der Bundesfinanzagentur gefunden. Dadurch soll unter anderem über Jahre hinweg Phishing von Benutzerdaten möglich gewesen sein.

Anzeige

Zwei Lücken hat der Chaos Computer Club (CCC) nach einem anonymen Hinweis bei den Webservern der Finanzagentur gefunden. Zum einen sei das Einstellen eigener Angebote möglich gewesen. Zum anderen hätte jeder Anwender per Browser Veränderungen an Finanzangeboten der Agentur vornehmen können, schreibt der Club.

  • Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)
  • Fehlermeldung auf den Administratiosseiten (Screenshot vom 11.03.2011)
Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)

Die schlecht konfigurierten Apache-Server seien zudem für Kunden der Finanzagentur als Umleitung und damit für Phishing verwendbar gewesen. Benutzerdaten hätten dadurch durch einen Aufruf des Systems für Onlinebanking der Agentur abgefangen und an andere Webserver weitergeleitet werden können. Ob es sich dabei um typische Angriffe per Cross-Site-Scripting (XSS) handelt, teilte der Club nicht mit. Derzeit weist die Startseite der Agentur auf Wartungsarbeiten hin, die noch den gesamten Freitag andauern sollen. Einige direkt erreichbare Seiten geben auch nur eine Fehlermeldung aus - offenbar wurden große Teile des Systems vom Netz genommen.

CCC-Sprecher Dirk Engling kommentiert: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel". Berichte über dadurch entstandene Schäden liegen noch nicht vor.

Die "Bundesrepublik Deutschland - Finanzagentur GmbH" führt als staatliches Unternehmen Finanzdienstleistungen für die Bundesrepublik durch. Sie kümmert sich vor allem um die Kreditaufnahme des Bundes und dessen Schuldenmanagement.


MatthiasOp 12. Mär 2011

Zu Punkt 1: Ein bisschen unsachlich, meinst du nicht. Ich bin schon froh, wählen zu...

azeu 11. Mär 2011

in Bezug auf VDS und Zugangserschwerungsgesetz wenn ich sowas lesen muss... Die schaffen...

Didatus 11. Mär 2011

.. wie wollen die sonst der GEZ alle Daten zur Verfügung stellen, ohne es öffentlich zu...

Kommentieren


Eviltux. IT & Gesellschaft / 12. Mär 2011

Bundesfinanzagentur mit unsicherem Webserver

Internet und Co. / 11. Mär 2011

Ein jeder kehrt vor seiner Tür



Anzeige

  1. Projektverantwortliche Software Ingenieure (m/w)
    ebm-papst St. Georgen GmbH & Co. KG, St. Georgen
  2. Entwickler/in für Anwendungssoftware
    Bosch Rexroth AG, Elchingen
  3. SAP Anwendungsbetreuer (m/w) PP/LE/SD/MM
    Schütz GmbH & Co. KGaA, North Branch/NJ (USA), Shanghai (China)
  4. Software-Entwickler (m/w)
    Kries-Energietechnik GmbH&Co KG, Waiblingen

 

Detailsuche


Blu-ray-Angebote
  1. NEU: 10 Blu-rays für 50 EUR - nur 5€ pro Film!
    (u. a. Inception, The Dark Knight Rises, Project X, Sieben, The Lego Movie, Kill the Boss)
  2. Jurassic Park 3 - Steelbook [Blu-ray] [Limited Edition]
    14,99€
  3. Jurassic Park - Steelbook [Blu-ray] [Limited Edition]
    14,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Samsung 850 Evo

    M.2- und mSATA-Kärtchen erhalten mehr Cache

  2. Mozilla

    Firefox 37 bringt Zertifikatsperren und Nutzerfeedback

  3. Assassin's Creed Chronicles angespielt

    Drei mörderische Zeitreisen

  4. Operation Volatile Cedar

    Spionagesoftware aus dem Libanon

  5. Studie

    Facebook trackt jeden

  6. Umfrage

    Notebook bleibt beliebtestes Gerät zur Internetnutzung

  7. Surface 3 im Hands on

    Das Surface ohne RT

  8. Fotodienst

    Flickr erlaubt gemeinfreie Bilder

  9. Musikstreaming

    Jay Z startet Spotify-Konkurrenten Tidal

  10. Zahlungsabwickler

    Paypal erstattet Rücksendekosten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Gnome 3.16 angesehen: "Tod der Nachrichtenleiste"
Gnome 3.16 angesehen
"Tod der Nachrichtenleiste"
  1. Server-Technik Gnome erstellt App-Sandboxes
  2. Display-Server Volle Wayland-Unterstützung für Gnome noch dieses Jahr
  3. Linux Gnome-Werkzeug soll für bessere Akkulaufzeiten sorgen

Openstack: Viele brauchen es, keiner versteht es - wir erklären es
Openstack
Viele brauchen es, keiner versteht es - wir erklären es
  1. Cebit 2015 Das Open Source Forum debattiert über Limux

Episode Duscae angespielt: Final Fantasy ist endlich wieder zeitgemäß
Episode Duscae angespielt
Final Fantasy ist endlich wieder zeitgemäß
  1. Test Final Fantasy Type-0 HD Chaos und Kampf

  1. Re: Das machen so viele...

    berritorre | 04:54

  2. Re: Firefox Geschwindigkeit

    Zwangsangemeldet | 04:47

  3. Re: Kundinnen und Kunden schaden

    Galde | 04:46

  4. Re: Golem hat keine Scripts von Facebook, dafür...

    berritorre | 04:36

  5. Re: Die viel größere Änderung beim DVD-/BD...

    Galde | 04:20


  1. 23:51

  2. 18:29

  3. 18:00

  4. 17:59

  5. 17:22

  6. 16:32

  7. 15:00

  8. 13:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel