• IT-Karriere:
  • Services:

Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Herbizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Artikel veröffentlicht am ,
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern.
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern. (Bild: Zeynel Cebeci, Wikimedia Commons/CC-BY-SA 4.0)

Eine vom Bundesinstitut für Risikobewertung (BfR) bereitgestellte Webseite hatte mehrere Sicherheitslücken. Ein Golem.de-Leser wies uns darauf hin, dass er dort Zugangsdaten für eine PostgreSQL-Datenbank auslesen konnte. Die Webseite dient dazu, ein Gutachten zum Herbizid Glyphosat für Personen bereitzustellen, die dies gemäß dem Informationsfreiheitsgesetz angefragt haben.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. W&W Informatik GmbH, Ludwigsburg

Der Hintergrund: Die Betreiber des Portals FragDenStaat hatten das Gutachten vom BfR angefragt und veröffentlicht. Genau das hatte das BfR aber untersagt - unter Berufung auf das Urheberrecht. Das BfR klagte gegen die Betreiber von FragDenStaat und bekam Recht.

40.000 wollen Gutachten sehen

Daraufhin rief FragDenStaat dazu auf, dass alle, die sich für das Gutachten interessieren, es selbst anfragen sollten. Jeder hat das Recht, derartige Anfragen nach dem Informationsfreiheitsgesetz zu stellen. Fast 40.000 Personen haben das inzwischen getan.

Diese Woche hat das BfR die Anfragen beantwortet und dabei einigen Aufwand betrieben. Es wurde eine spezielle Webseite erstellt. Alle Personen, die das Gutachten anfragen, bekommen hierfür Zugangsdaten zugeschickt. Der Zugang funktioniert nach einmaliger Verwendung nur sieben Tage. Außerdem wird versucht, ein Abspeichern der Dateien zu erschweren, die Daten sind auch nicht barrierefrei.

Die Seiten des Gutachtens werden als Bild angezeigt, ein Speichern mittels Rechtsklick wird via Javascript blockiert. Natürlich ist es trotzdem möglich, die Inhalte abzuspeichern, beispielsweise indem man sich die URLs in den Entwicklertools eines Browsers anzeigen lässt und die Dateien manuell abspeichert.

Schon kurz nach der Veröffentlichung der Webseite wiesen die Betreiber von FragDenStaat auf eine Cross-Site-Scripting-Lücke hin. Eine noch gravierendere Lücke fand einer unserer Leser. Mittels einer Directory-Traversal-Lücke war es möglich, zu der Webanwendung gehörende Dateien auszulesen.

Datei mit Datenbankzugangsdaten abrufbar

In einer Konfigurationsdatei für den Java-Webserver Tomcat fanden sich die Zugangsdaten für die zur Webanwendung gehörenden Datenbank. Der Benutzername lautete "dummy" und das Passwort "doof" - das Passwort entspricht somit nicht den gängigen Empfehlungen für sichere Passwörter. Immerhin: Die Datenbank war von außen nicht erreichbar, ohne weitere Sicherheitslücken hätte ein Angreifer also auch mit diesem Passwort vermutlich keinen Schaden anrichten können.

Um die Veröffentlichung des Gutachtens zu verhindern, hat das BfR bislang einigen Aufwand betrieben. Warum es die Veröffentlichung verhindern möchte, bleibt dabei unklar. In der Diskussion um die Gefährlichkeit von Glyphosat dürfte das Vorgehen der Glaubwürdigkeit des BfR eher schaden.

In einer Stellungnahme schreibt das BfR lediglich: "Das Vorgehen ist von grundsätzlicher Bedeutung für die zukünftige wissenschaftliche Tätigkeit des BfR." Inwiefern die Nichtveröffentlichung eines wissenschaftlichen Dokuments von grundsätzlicher Bedeutung sei, wird nicht erklärt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

kendon 14. Mai 2019

Sieht Blizzard anders: https://www.golem.de/news/blizzard-wasserzeichen-in-world-of...

sehami 13. Mai 2019

You made my day! :-D

masterx244 13. Mai 2019

FdS dient auch als Quelle bezüglich Kosten und bereits gestellten anfragen. Und falls...

Sandeeh 12. Mai 2019

Ich habe einen erfundenen Namen + Adresse mit der anonymen Frag-den-Staat eMail-Adresse...

Auspuffanlage 12. Mai 2019

Wie soll ich das interpretieren? Journalisten hausgemachten Katastrophen nichts...


Folgen Sie uns
       


Oneplus 8 Pro - Test

Das Oneplus 8 Pro hat eine Vierfachkamera, einen hochauflösenden Bildschirm mit hoher Bildrate und lässt sich endlich auch drahtlos laden - wir haben uns das Smartphone genau angeschaut.

Oneplus 8 Pro - Test Video aufrufen
Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

Realme 6 und 6 Pro im Test: Starke Konkurrenz für Xiaomi
Realme 6 und 6 Pro im Test
Starke Konkurrenz für Xiaomi

Das Realme 6 und 6 Pro bieten eine starke Ausstattung für relativ wenig Geld - und gehören damit aktuell zu den interessantesten Mittelklasse-Smartphones.
Ein Test von Tobias Költzsch


    LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
    LG Gram 14Z90N im Test
    Die Feder ist mächtiger als das Schwert

    Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
    Ein Test von Oliver Nickel

    1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell
    2. Dynabook Das Tecra X-50 hat eine alte CPU, aber viele neue Anschlüsse

      •  /