Suche
Anzeige
(Bild: Zeynel Cebeci, Wikimedia Commons/CC-BY-SA 4.0)

Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Eine vom Bundesinstitut für Risikobewertung (BfR) bereitgestellte Webseite hatte mehrere Sicherheitslücken. Ein Golem.de-Leser wies uns darauf hin, dass er dort Zugangsdaten für eine PostgreSQL-Datenbank auslesen konnte. Die Webseite dient dazu, ein Gutachten zum Pestizid Glyphosat für Personen bereitzustellen, die dies gemäß dem Informationsfreiheitsgesetz angefragt haben.

Anzeige

Der Hintergrund: Die Betreiber des Portals FragDenStaat hatten das Gutachten vom BfR angefragt und veröffentlicht. Genau das hatte das BfR aber untersagt - unter Berufung auf das Urheberrecht. Das BfR klagte gegen die Betreiber von FragDenStaat und bekam Recht.

40.000 wollen Gutachten sehen

Daraufhin rief FragDenStaat dazu auf, dass alle, die sich für das Gutachten interessieren, es selbst anfragen sollten. Jeder hat das Recht, derartige Anfragen nach dem Informationsfreiheitsgesetz zu stellen. Fast 40.000 Personen haben das inzwischen getan.

Diese Woche hat das BfR die Anfragen beantwortet und dabei einigen Aufwand betrieben. Es wurde eine spezielle Webseite erstellt. Alle Personen, die das Gutachten anfragen, bekommen hierfür Zugangsdaten zugeschickt. Der Zugang funktioniert nach einmaliger Verwendung nur sieben Tage. Außerdem wird versucht, ein Abspeichern der Dateien zu erschweren, die Daten sind auch nicht barrierefrei.

Die Seiten des Gutachtens werden als Bild angezeigt, ein Speichern mittels Rechtsklick wird via Javascript blockiert. Natürlich ist es trotzdem möglich, die Inhalte abzuspeichern, beispielsweise indem man sich die URLs in den Entwicklertools eines Browsers anzeigen lässt und die Dateien manuell abspeichert.

Schon kurz nach der Veröffentlichung der Webseite wiesen die Betreiber von FragDenStaat auf eine Cross-Site-Scripting-Lücke hin. Eine noch gravierendere Lücke fand einer unserer Leser. Mittels einer Directory-Traversal-Lücke war es möglich, zu der Webanwendung gehörende Dateien auszulesen.

Datei mit Datenbankzugangsdaten abrufbar

In einer Konfigurationsdatei für den Java-Webserver Tomcat fanden sich die Zugangsdaten für die zur Webanwendung gehörenden Datenbank. Der Benutzername lautete "dummy" und das Passwort "doof" - das Passwort entspricht somit nicht den gängigen Empfehlungen für sichere Passwörter. Immerhin: Die Datenbank war von außen nicht erreichbar, ohne weitere Sicherheitslücken hätte ein Angreifer also auch mit diesem Passwort vermutlich keinen Schaden anrichten können.

Um die Veröffentlichung des Gutachtens zu verhindern, hat das BfR bislang einigen Aufwand betrieben. Warum es die Veröffentlichung verhindern möchte, bleibt dabei unklar. In der Diskussion um die Gefährlichkeit von Glyphosat dürfte das Vorgehen der Glaubwürdigkeit des BfR eher schaden.

In einer Stellungnahme schreibt das BfR lediglich: "Das Vorgehen ist von grundsätzlicher Bedeutung für die zukünftige wissenschaftliche Tätigkeit des BfR." Inwiefern die Nichtveröffentlichung eines wissenschaftlichen Dokuments von grundsätzlicher Bedeutung sei, wird nicht erklärt.