Abo
  • Services:
Anzeige
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Anzeige

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."


eye home zur Startseite
ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...


NetAndroid's Blog / 27. Jun 2011



Anzeige

Stellenmarkt
  1. viastore SYSTEMS GmbH, Stuttgart oder Löhne
  2. Deutsche Post DHL Group, Bonn
  3. Robert Bosch GmbH, Bühl
  4. NPG Digital, Ulm


Anzeige
Blu-ray-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Jurassic World, Die Unfassbaren, Creed, Interstellar, Mad Max Fury Road)
  3. 23,76€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt
  2. Facebook 64 Die iOS-App wird über 150 MByte groß
  3. Datenschutz bei Facebook EuGH soll Recht auf Sammelklage prüfen

AGL-Meeting in München: Einheitliches Linux im Auto hilft den Herstellern
AGL-Meeting in München
Einheitliches Linux im Auto hilft den Herstellern
  1. Nouveau Nvidias Verhalten gefährdet freien Linux-Treiber
  2. 25 Jahre Linux Besichtigungstour zu den skurrilsten Linux-Distributionen
  3. Hans de Goede Red-Hat-Entwickler soll Hybridgrafik unter Linux verbessern

iOS 10 im Test: Klügere Apps, Herzchen und ein sinnvoller Sperrbildschirm
iOS 10 im Test
Klügere Apps, Herzchen und ein sinnvoller Sperrbildschirm
  1. Betaversion iOS 10.1 Beta enthält Porträt-Modus für iPhone 7 Plus
  2. Apple Nutzer berichten über verschiedene Probleme mit dem iPhone 7
  3. Apple Startprobleme beim Update auf iOS 10

  1. Re: 40 Millionen Kunden ohne LTE1800?

    ICH_DU | 22:38

  2. Re: O2 läuft prima

    ICH_DU | 22:37

  3. Re: Mein Sennheiser mit Audio Jack/Klinke

    unbuntu | 22:32

  4. Re: dafür sind Unis auch nicht da

    bstea | 22:29

  5. Re: Ach der qwerty

    ElMario | 22:27


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel