Abo
  • IT-Karriere:

Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Artikel veröffentlicht am ,
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern.
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern. (Bild: Zeynel Cebeci, Wikimedia Commons/CC-BY-SA 4.0)

Eine vom Bundesinstitut für Risikobewertung (BfR) bereitgestellte Webseite hatte mehrere Sicherheitslücken. Ein Golem.de-Leser wies uns darauf hin, dass er dort Zugangsdaten für eine PostgreSQL-Datenbank auslesen konnte. Die Webseite dient dazu, ein Gutachten zum Pestizid Glyphosat für Personen bereitzustellen, die dies gemäß dem Informationsfreiheitsgesetz angefragt haben.

Stellenmarkt
  1. LOTTO Hessen GmbH, Wiesbaden
  2. Wirecard Technologies GmbH, Aschheim bei München

Der Hintergrund: Die Betreiber des Portals FragDenStaat hatten das Gutachten vom BfR angefragt und veröffentlicht. Genau das hatte das BfR aber untersagt - unter Berufung auf das Urheberrecht. Das BfR klagte gegen die Betreiber von FragDenStaat und bekam Recht.

40.000 wollen Gutachten sehen

Daraufhin rief FragDenStaat dazu auf, dass alle, die sich für das Gutachten interessieren, es selbst anfragen sollten. Jeder hat das Recht, derartige Anfragen nach dem Informationsfreiheitsgesetz zu stellen. Fast 40.000 Personen haben das inzwischen getan.

Diese Woche hat das BfR die Anfragen beantwortet und dabei einigen Aufwand betrieben. Es wurde eine spezielle Webseite erstellt. Alle Personen, die das Gutachten anfragen, bekommen hierfür Zugangsdaten zugeschickt. Der Zugang funktioniert nach einmaliger Verwendung nur sieben Tage. Außerdem wird versucht, ein Abspeichern der Dateien zu erschweren, die Daten sind auch nicht barrierefrei.

Die Seiten des Gutachtens werden als Bild angezeigt, ein Speichern mittels Rechtsklick wird via Javascript blockiert. Natürlich ist es trotzdem möglich, die Inhalte abzuspeichern, beispielsweise indem man sich die URLs in den Entwicklertools eines Browsers anzeigen lässt und die Dateien manuell abspeichert.

Schon kurz nach der Veröffentlichung der Webseite wiesen die Betreiber von FragDenStaat auf eine Cross-Site-Scripting-Lücke hin. Eine noch gravierendere Lücke fand einer unserer Leser. Mittels einer Directory-Traversal-Lücke war es möglich, zu der Webanwendung gehörende Dateien auszulesen.

Datei mit Datenbankzugangsdaten abrufbar

In einer Konfigurationsdatei für den Java-Webserver Tomcat fanden sich die Zugangsdaten für die zur Webanwendung gehörenden Datenbank. Der Benutzername lautete "dummy" und das Passwort "doof" - das Passwort entspricht somit nicht den gängigen Empfehlungen für sichere Passwörter. Immerhin: Die Datenbank war von außen nicht erreichbar, ohne weitere Sicherheitslücken hätte ein Angreifer also auch mit diesem Passwort vermutlich keinen Schaden anrichten können.

Um die Veröffentlichung des Gutachtens zu verhindern, hat das BfR bislang einigen Aufwand betrieben. Warum es die Veröffentlichung verhindern möchte, bleibt dabei unklar. In der Diskussion um die Gefährlichkeit von Glyphosat dürfte das Vorgehen der Glaubwürdigkeit des BfR eher schaden.

In einer Stellungnahme schreibt das BfR lediglich: "Das Vorgehen ist von grundsätzlicher Bedeutung für die zukünftige wissenschaftliche Tätigkeit des BfR." Inwiefern die Nichtveröffentlichung eines wissenschaftlichen Dokuments von grundsätzlicher Bedeutung sei, wird nicht erklärt.



Anzeige
Top-Angebote
  1. (u. a. Samsung U32J590UQU UHD-Monitor + Xbox One S 1 TB Bundle mit The Division 2 oder Minecraft...
  2. (u. a. WD Elements Desktop 4 TB für 82,99€)
  3. mit Rabatt auf Monitore, SSDs, Gehäuse und mehr
  4. (u. a. The Legend of Zelda, Super Smash Bros. Ultimate)

kendon 14. Mai 2019 / Themenstart

Sieht Blizzard anders: https://www.golem.de/news/blizzard-wasserzeichen-in-world-of...

sehami 13. Mai 2019 / Themenstart

You made my day! :-D

masterx244 13. Mai 2019 / Themenstart

FdS dient auch als Quelle bezüglich Kosten und bereits gestellten anfragen. Und falls...

Sandeeh 12. Mai 2019 / Themenstart

Ich habe einen erfundenen Namen + Adresse mit der anonymen Frag-den-Staat eMail-Adresse...

Auspuffanlage 12. Mai 2019 / Themenstart

Wie soll ich das interpretieren? Journalisten hausgemachten Katastrophen nichts...

Kommentieren


Folgen Sie uns
       


Probefahrt mit dem e.Go Life

Der e.Go Life ist ein elektrisch angetriebener Kleinwagen des neuen Aachener Automobilherstellers e.Go Mobile. Wir haben eine Probefahrt gemacht.

Probefahrt mit dem e.Go Life Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Mobile-Games-Auslese: Games-Kunstwerke für die Hosentasche
Mobile-Games-Auslese
Games-Kunstwerke für die Hosentasche

Cultist Simulator, Photographs, Dungeon Warfare 2 und mehr: Diesen Monat lockt eine besonders hochkarätige Auswahl an kniffligen, gruseligen und komplexen Games an die mobilen Spielgeräte.
Von Rainer Sigl

  1. Spielebranche Auch buntes Spieleblut ist in China künftig verboten
  2. Remake Agent XIII kämpft wieder um seine Identität
  3. Workers & Resources im Test Vorwärts immer, rückwärts nimmer

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

    •  /