Abo
  • Services:

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Artikel veröffentlicht am ,
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Stellenmarkt
  1. OPITZ CONSULTING Deutschland GmbH, Gummersbach
  2. Byton GmbH, Ismaning

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."

Zu den Kommentaren springen
Meistgelesen
  1. Google
    Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
  2. EEG
    Windkraft in Gefahr
  3. Microsoft Teams
    Clippy ist wieder da
  4. Microsoft
    Die ganz normale, lautlose Cloud-Apokalypse
  5. Übernahme
    Disney zahlt für 21st Century Fox 71 Milliarden US-Dollar
Anzeige
Top-Angebote
  1. 99,99€ (versandkostenfrei)
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 54,99€
  4. 59,99€
Kommentarübersicht
Re: Fragwürdige Techniken
ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Re: Trottel macht sich lächerlich
Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Re: Bekommt...
Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...

Folgen Sie uns
       
Huawei Mate X angesehen (MWC 2019)

Das Mate X ist das erste faltbare Smartphone von Huawei. Der Bildschirm ist auf der Außenseite eingebaut. Im ausgeklappten Zustand ist er 8 Zoll groß.

Huawei Mate X angesehen (MWC 2019) Video aufrufen
Bluetooth-Hörstöpsel
Sechs Airpods-Konkurrenten im Test: Apple hat nicht die Längsten
Sechs Airpods-Konkurrenten im Test
Apple hat nicht die Längsten

Nach dem Klangsieger und dem Bedienungssieger haben wir im dritten Test den kabellosen Bluetooth-Hörstöpsel mit der weitaus besten Akkulaufzeit gefunden. Etwas war aber wieder nicht dabei: die perfekten True Wireless In-Ears.
Ein Test von Ingo Pakalski

    Nvidia Turing
    Zotac Geforce GTX 1660 Ti im Test: Gute 1440p-Karte für unter 300 Euro
    Zotac Geforce GTX 1660 Ti im Test
    Gute 1440p-Karte für unter 300 Euro

    Die Geforce GTX 1660 Ti von Zotac ist eine der günstigen Grafikkarten mit Nvidias Turing-Architektur, dennoch erhalten Käufer ein empfehlenswertes Modell: Der leise Pixelbeschleuniger rechnet praktisch so flott wie übertaktete Modelle, braucht aber weniger Energie.
    Ein Test von Marc Sauter

    1. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
    2. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern
    3. Metro Exodus im Technik-Test Richtiges Raytracing rockt
    Urheberrecht
    Uploadfilter: Voss stellt Existenz von Youtube infrage
    Uploadfilter
    Voss stellt Existenz von Youtube infrage

    Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

    1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
    2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
    3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /