Abo
  • Services:

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Artikel veröffentlicht am ,
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Stellenmarkt
  1. über duerenhoff GmbH, München (Home-Office möglich)
  2. Eurowings Aviation GmbH, Köln

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."

Zu den Kommentaren springen
Meistgelesen
  1. Nuraphone im Test
    Kopfhörer mit eingebautem Hörtest und Spitzenklang
  2. Machine Learning
    Gesichter auf Taylor-Swift-Konzert unbemerkt gescannt
  3. Samsung
    Galaxy S10 mit 1 TByte Speicher soll am 20. Februar kommen
  4. Leasing
    United Internet will 5G-Netz von ZTE bauen lassen
  5. Gerichtshof der Europäischen Union
    Deutscher Rundfunkbeitrag ist legal und zwangsvollstreckbar
Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
Kommentarübersicht
Re: Fragwürdige Techniken
ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Re: Trottel macht sich lächerlich
Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Re: Bekommt...
Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...

Folgen Sie uns
       
Nepos Tablet - Hands on

Nepos ist ein Tablet, das speziell für ältere Nutzer gedacht ist. Das Gehäuse ist stabil und praktisch, die Benutzerführung einheitlich. Jede App funktioniert nach dem gleichen Prinzip, mit der gleichen Benutzeroberfläche.

Nepos Tablet - Hands on Video aufrufen
Yuneec
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller

    Active Noise Cancellation
    Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
    Sony-Kopfhörer WH-1000XM3 im Test
    Eine Oase der Stille oder des puren Musikgenusses

    Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
    Ein Test von Ingo Pakalski

      Schiff
      Autonome Schiffe: Und abends geht der Kapitän nach Hause
      Autonome Schiffe
      Und abends geht der Kapitän nach Hause

      Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
      Ein Bericht von Werner Pluta

      1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
      2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
      3. Power Pac Strom aus dem Container für Ozeanriesen
      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /