Abo
  • Services:
Anzeige
Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

File Inclusion

Sicherheitslücke auf dem Webserver der Schufa

Screenshot der Sicherheitslücke
Screenshot der Sicherheitslücke (Bild: David Vieira-Kurz)

Ein Sicherheitsexperte hat eine Lücke auf meineschufa.de gefunden. Die Schufa erklärte jedoch, dass personenbezogene Daten nicht betroffen seien.

Durch eine Sicherheitslücke ist es möglich, Dateien vom Schufa-Webserver herunterzuladen. Das berichtet der IT-Sicherheitsexperte David Vieira-Kurz in seinem Blog. Die Lücke auf meineschufa.de lässt sich per File Inclusion ohne besondere Fachkenntnisse ausnutzen, erklärte Vieira-Kurz Golem.de. Auch das Onlinemagazin Gulli.com hatte über das Sicherheitsproblem berichtet.

Anzeige

"Zu keinem Zeitpunkt war es möglich, Zugang auf personenbezogene Daten zu bekommen", sagte ein Sprecher Golem.de auf Anfrage. Das Sicherheitsproblem bestätigte er. David Vieira-Kurz habe "recht", seine Aussagen stimmten. Zugriff sei aber nur auf den Downloadbereich möglich, wo beispielsweise Formulare bereitgestellt würden. "Wir machen das heute im Laufe des Tages noch zu", kündigte er an. Die Schufa würde in regelmäßigen Abständen von einer Sicherheitsfirma Hackerangriffe auf ihre Systeme durchführen lassen, um Sicherheitslücken zu finden.

Vieira-Kurz hatte die Lücke bei der Suche nach einem Antragsformular unter meineschufa.de gefunden. "Dabei fiel mir ein Link ins Auge, der das klassische Muster einer Local-File-Inclusion-Schwachstelle aufweist." Hier seien durch den zuständigen Programmierer der Schufa keinerlei Sicherheitsmaßnahmen implementiert worden. "Schon allein, dass es möglich ist, die Downloaddatei anzuweisen, sich selbst als Binary anzubieten, ist ein fataler Fehler."

Die Piratenpartei forderte die Verantwortlichen auf, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. "Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein", sagte Piratenparteichef Sebastian Nerz. "Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben."


eye home zur Startseite
ap (Golem.de) 14. Jun 2011

Um die persönliche Auseinandersetzung zu beenden, wurde dieser Thread geschlossen.

Himuralibima 13. Jun 2011

Dein Satire-Detektor ist kaputt.

Trash 12. Jun 2011

Das erklärte Ziel von Sebastian Nerz war ja, die Piraten spätestens 2013 über die 5% zu...


NetAndroid's Blog / 27. Jun 2011



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  2. Ratbacher GmbH, Raum Darmstadt
  3. Habermaaß GmbH, Bad Rodach
  4. Ratbacher GmbH, Coburg


Anzeige
Top-Angebote
  1. (u. a. Rayman Legends 8,99€, Rayman Origins 4,99€ und Syberia 3 14,80€)
  2. (u. a. Crucial Ballistix Sport 16-GB-DDR4 für 121€ + 4,99€ Versand)

Folgen Sie uns
       


  1. Platooning

    Daimler fährt in den USA mit Lkw im autonomen Konvoi

  2. Suchmaschine

    Apple stellt Siri auf Google um

  3. Gruppenchat

    Skype for Business wird durch Microsoft Teams ersetzt

  4. Teardown

    iFixit findet größeren Akku in Apple Watch Series 3

  5. Coffee Lake

    Intel verkauft sechs Kerne für unter 200 Euro

  6. MacOS 10.13

    Apple gibt High Sierra frei

  7. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  8. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  9. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  10. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 IT-Probleme verzögerten Stimmübermittlung
  2. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  3. Zitis Wer Sicherheitslücken findet, darf sie behalten

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. iZugar 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt
  2. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  3. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Das ist schon heftig.

    Mixermachine | 09:31

  2. Re: Fehler?

    ad (Golem.de) | 09:30

  3. Re: Was ihnen Golem unterschlägt

    surfi | 09:29

  4. Re: Super Gau

    Tylon | 09:28

  5. Re: ...und meinem Vermieter sag ich jetzt was?

    logged_in | 09:27


  1. 09:11

  2. 08:57

  3. 07:51

  4. 07:23

  5. 07:08

  6. 19:40

  7. 19:00

  8. 17:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel