Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Herbizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Artikel veröffentlicht am ,
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern.
Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern. (Bild: Zeynel Cebeci, Wikimedia Commons/CC-BY-SA 4.0)

Eine vom Bundesinstitut für Risikobewertung (BfR) bereitgestellte Webseite hatte mehrere Sicherheitslücken. Ein Golem.de-Leser wies uns darauf hin, dass er dort Zugangsdaten für eine PostgreSQL-Datenbank auslesen konnte. Die Webseite dient dazu, ein Gutachten zum Herbizid Glyphosat für Personen bereitzustellen, die dies gemäß dem Informationsfreiheitsgesetz angefragt haben.

Stellenmarkt
  1. Sachbearbeiter (w/m/d) IT-Betreuung und Teamassistenz Schulen
    KommunalBIT AöR, Fürth
  2. IT-Netzwerkadministrator (m/w/d)
    DRK Landesverband Rheinland-Pfalz e.V., Mainz
Detailsuche

Der Hintergrund: Die Betreiber des Portals FragDenStaat hatten das Gutachten vom BfR angefragt und veröffentlicht. Genau das hatte das BfR aber untersagt - unter Berufung auf das Urheberrecht. Das BfR klagte gegen die Betreiber von FragDenStaat und bekam Recht.

40.000 wollen Gutachten sehen

Daraufhin rief FragDenStaat dazu auf, dass alle, die sich für das Gutachten interessieren, es selbst anfragen sollten. Jeder hat das Recht, derartige Anfragen nach dem Informationsfreiheitsgesetz zu stellen. Fast 40.000 Personen haben das inzwischen getan.

Diese Woche hat das BfR die Anfragen beantwortet und dabei einigen Aufwand betrieben. Es wurde eine spezielle Webseite erstellt. Alle Personen, die das Gutachten anfragen, bekommen hierfür Zugangsdaten zugeschickt. Der Zugang funktioniert nach einmaliger Verwendung nur sieben Tage. Außerdem wird versucht, ein Abspeichern der Dateien zu erschweren, die Daten sind auch nicht barrierefrei.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Die Seiten des Gutachtens werden als Bild angezeigt, ein Speichern mittels Rechtsklick wird via Javascript blockiert. Natürlich ist es trotzdem möglich, die Inhalte abzuspeichern, beispielsweise indem man sich die URLs in den Entwicklertools eines Browsers anzeigen lässt und die Dateien manuell abspeichert.

Schon kurz nach der Veröffentlichung der Webseite wiesen die Betreiber von FragDenStaat auf eine Cross-Site-Scripting-Lücke hin. Eine noch gravierendere Lücke fand einer unserer Leser. Mittels einer Directory-Traversal-Lücke war es möglich, zu der Webanwendung gehörende Dateien auszulesen.

Datei mit Datenbankzugangsdaten abrufbar

In einer Konfigurationsdatei für den Java-Webserver Tomcat fanden sich die Zugangsdaten für die zur Webanwendung gehörenden Datenbank. Der Benutzername lautete "dummy" und das Passwort "doof" - das Passwort entspricht somit nicht den gängigen Empfehlungen für sichere Passwörter. Immerhin: Die Datenbank war von außen nicht erreichbar, ohne weitere Sicherheitslücken hätte ein Angreifer also auch mit diesem Passwort vermutlich keinen Schaden anrichten können.

Um die Veröffentlichung des Gutachtens zu verhindern, hat das BfR bislang einigen Aufwand betrieben. Warum es die Veröffentlichung verhindern möchte, bleibt dabei unklar. In der Diskussion um die Gefährlichkeit von Glyphosat dürfte das Vorgehen der Glaubwürdigkeit des BfR eher schaden.

In einer Stellungnahme schreibt das BfR lediglich: "Das Vorgehen ist von grundsätzlicher Bedeutung für die zukünftige wissenschaftliche Tätigkeit des BfR." Inwiefern die Nichtveröffentlichung eines wissenschaftlichen Dokuments von grundsätzlicher Bedeutung sei, wird nicht erklärt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kendon 14. Mai 2019

Sieht Blizzard anders: https://www.golem.de/news/blizzard-wasserzeichen-in-world-of...

sehami 13. Mai 2019

You made my day! :-D

masterx244 13. Mai 2019

FdS dient auch als Quelle bezüglich Kosten und bereits gestellten anfragen. Und falls...

Sandeeh 12. Mai 2019

Ich habe einen erfundenen Namen + Adresse mit der anonymen Frag-den-Staat eMail-Adresse...

Auspuffanlage 12. Mai 2019

Wie soll ich das interpretieren? Journalisten hausgemachten Katastrophen nichts...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /