Abo
  • IT-Karriere:

CCC

Unsichere Webserver bei Bundesfinanzagentur

Der Chaos Computer Club hat eigenen Angaben zufolge schwere Sicherheitslücken bei der Konfiguration der Webserver der Bundesfinanzagentur gefunden. Dadurch soll unter anderem über Jahre hinweg Phishing von Benutzerdaten möglich gewesen sein.

Artikel veröffentlicht am ,
CCC: Unsichere Webserver bei Bundesfinanzagentur

Zwei Lücken hat der Chaos Computer Club (CCC) nach einem anonymen Hinweis bei den Webservern der Finanzagentur gefunden. Zum einen sei das Einstellen eigener Angebote möglich gewesen. Zum anderen hätte jeder Anwender per Browser Veränderungen an Finanzangeboten der Agentur vornehmen können, schreibt der Club.

  • Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)
  • Fehlermeldung auf den Administratiosseiten (Screenshot vom 11.03.2011)
Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)
Stellenmarkt
  1. ITC ENGINEERING GMBH & CO. KG, Stuttgart
  2. THE BRETTINGHAMS GmbH, Berlin

Die schlecht konfigurierten Apache-Server seien zudem für Kunden der Finanzagentur als Umleitung und damit für Phishing verwendbar gewesen. Benutzerdaten hätten dadurch durch einen Aufruf des Systems für Onlinebanking der Agentur abgefangen und an andere Webserver weitergeleitet werden können. Ob es sich dabei um typische Angriffe per Cross-Site-Scripting (XSS) handelt, teilte der Club nicht mit. Derzeit weist die Startseite der Agentur auf Wartungsarbeiten hin, die noch den gesamten Freitag andauern sollen. Einige direkt erreichbare Seiten geben auch nur eine Fehlermeldung aus - offenbar wurden große Teile des Systems vom Netz genommen.

CCC-Sprecher Dirk Engling kommentiert: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel". Berichte über dadurch entstandene Schäden liegen noch nicht vor.

Die "Bundesrepublik Deutschland - Finanzagentur GmbH" führt als staatliches Unternehmen Finanzdienstleistungen für die Bundesrepublik durch. Sie kümmert sich vor allem um die Kreditaufnahme des Bundes und dessen Schuldenmanagement.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

MatthiasOp 12. Mär 2011

Zu Punkt 1: Ein bisschen unsachlich, meinst du nicht. Ich bin schon froh, wählen zu...

azeu 11. Mär 2011

in Bezug auf VDS und Zugangserschwerungsgesetz wenn ich sowas lesen muss... Die schaffen...

Didatus 11. Mär 2011

.. wie wollen die sonst der GEZ alle Daten zur Verfügung stellen, ohne es öffentlich zu...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


      Vernetztes Fahren: Wer hat uns verraten? Autodaten
      Vernetztes Fahren
      Wer hat uns verraten? Autodaten

      An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
      Eine Analyse von Friedhelm Greis

      1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
      2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
      3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

        •  /