Abo
  • Services:

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Artikel veröffentlicht am ,
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. über duerenhoff GmbH, Berlin

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. bei Alternate.de
  3. 449€

ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...


Folgen Sie uns
       


Hyundai Ioniq - Test

Wir sind den elektrisch angetriebenen Hyundai Ioniq ausgiebig Probe gefahren.

Hyundai Ioniq - Test Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

    •  /