• IT-Karriere:
  • Services:

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Artikel veröffentlicht am ,
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Stellenmarkt
  1. Sparda-Bank Augsburg eG, Augsburg
  2. NOVENTI Health SE, Gefrees/Bayreuth, Oberhausen, Mannheim

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Red Dead Redemption 2 PS4 24,99€, Need for Speed Heat PS4 44,97€, Star Wars Jedi: Fallen...
  2. 57,99€
  3. 45,99€ statt 59,99€ | Special Edition für 53,99€ und Ultimate Edition für 63,99€

ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Indiegames-Rundschau: Der letzte Kampf des alten Cops
    Indiegames-Rundschau
    Der letzte Kampf des alten Cops

    Rollenspiel deluxe mit einem abgehalfterten Polizisten in Disco Elysium, unmöglich-verdrehte Architektur in Manifold Garden und eine höllische Feier in Afterparty: Golem.de stellt die aktuellen Indiegames vor.
    Von Rainer Sigl

    1. Indiegames-Rundschau Killer trifft Gans
    2. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
    3. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten

      •  /