Abo
  • IT-Karriere:

Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Artikel veröffentlicht am ,
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern.
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern. (Bild: Zeynel Cebeci, Wikimedia Commons/CC-BY-SA 4.0)

Eine vom Bundesinstitut für Risikobewertung (BfR) bereitgestellte Webseite hatte mehrere Sicherheitslücken. Ein Golem.de-Leser wies uns darauf hin, dass er dort Zugangsdaten für eine PostgreSQL-Datenbank auslesen konnte. Die Webseite dient dazu, ein Gutachten zum Pestizid Glyphosat für Personen bereitzustellen, die dies gemäß dem Informationsfreiheitsgesetz angefragt haben.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. OEDIV KG, Bielefeld

Der Hintergrund: Die Betreiber des Portals FragDenStaat hatten das Gutachten vom BfR angefragt und veröffentlicht. Genau das hatte das BfR aber untersagt - unter Berufung auf das Urheberrecht. Das BfR klagte gegen die Betreiber von FragDenStaat und bekam Recht.

40.000 wollen Gutachten sehen

Daraufhin rief FragDenStaat dazu auf, dass alle, die sich für das Gutachten interessieren, es selbst anfragen sollten. Jeder hat das Recht, derartige Anfragen nach dem Informationsfreiheitsgesetz zu stellen. Fast 40.000 Personen haben das inzwischen getan.

Diese Woche hat das BfR die Anfragen beantwortet und dabei einigen Aufwand betrieben. Es wurde eine spezielle Webseite erstellt. Alle Personen, die das Gutachten anfragen, bekommen hierfür Zugangsdaten zugeschickt. Der Zugang funktioniert nach einmaliger Verwendung nur sieben Tage. Außerdem wird versucht, ein Abspeichern der Dateien zu erschweren, die Daten sind auch nicht barrierefrei.

Die Seiten des Gutachtens werden als Bild angezeigt, ein Speichern mittels Rechtsklick wird via Javascript blockiert. Natürlich ist es trotzdem möglich, die Inhalte abzuspeichern, beispielsweise indem man sich die URLs in den Entwicklertools eines Browsers anzeigen lässt und die Dateien manuell abspeichert.

Schon kurz nach der Veröffentlichung der Webseite wiesen die Betreiber von FragDenStaat auf eine Cross-Site-Scripting-Lücke hin. Eine noch gravierendere Lücke fand einer unserer Leser. Mittels einer Directory-Traversal-Lücke war es möglich, zu der Webanwendung gehörende Dateien auszulesen.

Datei mit Datenbankzugangsdaten abrufbar

In einer Konfigurationsdatei für den Java-Webserver Tomcat fanden sich die Zugangsdaten für die zur Webanwendung gehörenden Datenbank. Der Benutzername lautete "dummy" und das Passwort "doof" - das Passwort entspricht somit nicht den gängigen Empfehlungen für sichere Passwörter. Immerhin: Die Datenbank war von außen nicht erreichbar, ohne weitere Sicherheitslücken hätte ein Angreifer also auch mit diesem Passwort vermutlich keinen Schaden anrichten können.

Um die Veröffentlichung des Gutachtens zu verhindern, hat das BfR bislang einigen Aufwand betrieben. Warum es die Veröffentlichung verhindern möchte, bleibt dabei unklar. In der Diskussion um die Gefährlichkeit von Glyphosat dürfte das Vorgehen der Glaubwürdigkeit des BfR eher schaden.

In einer Stellungnahme schreibt das BfR lediglich: "Das Vorgehen ist von grundsätzlicher Bedeutung für die zukünftige wissenschaftliche Tätigkeit des BfR." Inwiefern die Nichtveröffentlichung eines wissenschaftlichen Dokuments von grundsätzlicher Bedeutung sei, wird nicht erklärt.



Anzeige
Top-Angebote
  1. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  2. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  3. 116,05€ (Bestpreis!)
  4. 849€ (Vergleichspreis über 1.000€)

kendon 14. Mai 2019

Sieht Blizzard anders: https://www.golem.de/news/blizzard-wasserzeichen-in-world-of...

sehami 13. Mai 2019

You made my day! :-D

masterx244 13. Mai 2019

FdS dient auch als Quelle bezüglich Kosten und bereits gestellten anfragen. Und falls...

Sandeeh 12. Mai 2019

Ich habe einen erfundenen Namen + Adresse mit der anonymen Frag-den-Staat eMail-Adresse...

Auspuffanlage 12. Mai 2019

Wie soll ich das interpretieren? Journalisten hausgemachten Katastrophen nichts...


Folgen Sie uns
       


Mercedes EQC probegefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC probegefahren Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Hyundai Kona Elektro: Der Ausdauerläufer
    Hyundai Kona Elektro
    Der Ausdauerläufer

    Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
    Ein Praxistest von Dirk Kunde

    1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
    2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
    3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

      •  /