Abo
  • IT-Karriere:

Datenschutz: BVG-Webseite verrät Besucher-IPs und Mailadressen

Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.

Artikel von Hanno Böck veröffentlicht am
Das war nicht so gedacht: Die BVG veröffentlichte die IPs von Webseitenbesuchern und teilweise deren Mailadressen ungeschützt im Netz.
Das war nicht so gedacht: Die BVG veröffentlichte die IPs von Webseitenbesuchern und teilweise deren Mailadressen ungeschützt im Netz. (Bild: Leif Jørgensen / Wikimedia Commons/CC-BY-SA 4.0)

Bei den Berliner Verkehrsbetrieben (BVG) hat es vergangene Woche eine Datenschutzpanne gegeben. Auf der Webseite konnte ungeschützt eine Statusseite des Apache-Webservers abgerufen werden, wie Golem.de bemerkt hat. Jeder, der die entsprechende Seite aufrief, konnte dort die IP-Adressen aller aktuellen Webseitenbesucher sowie URLs sehen. Teilweise enthielten die URLs auch E-Mail-Adressen.

Stellenmarkt
  1. alpha Tonträger Vertriebs GmbH, Erding
  2. Hessisches Ministerium für Soziales und Integration, Wiesbaden

Die Statusseite ist ein Standardfeature des Apache-Webservers und wird häufig falsch konfiguriert. Wie kritisch eine solche Fehlkonfiguration ist, hängt aber vom Einzelfall ab. Relevant ist vor allem, welche Daten in einer URL zu sehen sind und ob die IP-Adressen von Besuchern angezeigt werden.

Besonders kritisch an der BVG-Statusseite war, dass dort auch Mailadressen von Kunden einsehbar waren. Offenbar für einen API-Aufruf wird dort eine E-Mail-Adresse über eine GET-Variable übergeben.

Laut der BVG war die Status-Webseite nur für kurze Zeit öffentlich abrufbar. "Die Seite, auf die Sie uns dankenswerterweise hingewiesen haben, war einmalig in der Mittwochnacht sowie ab Donnerstagabend einsehbar", teilte die BVG-Pressestelle Golem.de mit. Auch habe es nur eine Handvoll erfolgreicher Zugriffe gegeben. Die BVG will durch ein Monitoring verhindern, dass künftig ähnliche Konfigurationsfehler auftreten.

Auch ProSiebenSat.1 betroffen

Allein ist die BVG mit diesem Problem nicht. Bei einem Scan fanden wir unzählige ähnliche Seiten. So lässt sich etwa eine entsprechende Statusseite auf zahlreichen Webseiten von Pro7 und Sat.1 finden.

Eine entsprechende Anfrage von Golem.de blieb unbeantwortet, die Seiten sind weiterhin abrufbar. Allerdings ist dieser Fall weniger kritisch, da dort nur interne IP-Adressen und keine persönlichen Daten zu finden sind.

In der Vergangenheit hat Golem.de bereits über ähnliche Fälle bei der Suchmaschine Ask.com und bei den Grünen berichtet.

Nachtrag vom 2. März 2018, 9:50 Uhr

Pro7 hat den Zugriff auf die entsprechende Seite mittlerweile gesperrt.



Anzeige
Top-Angebote
  1. (u. a. Tropico 6 für 24,99€, PSN Card 10€ für 9,49€, PSN Card 20€ für 18,99€)
  2. (u. a. Switch-Spiele: Daemon X Machina für 49,99€, The Legend of Zelda: Link's Awakening; PS4...
  3. GRATIS im Ubisoft-Sale
  4. 329,00€

katze_sonne 02. Mär 2018

Klar, loggen kann man vieles. Aber die aufgerufenen Adressen / URLs werden ja wohl fast...

d/cYpher 02. Mär 2018

dass die pro7-page nen ähnlichen bug hat, mit dem sich anonymisierte bewegungsprofile auf...

Anonymer Nutzer 01. Mär 2018

scannen kann man, nur wieso landet es im google cache? im allgemeinen gibt es keine links...

Der_aKKe 01. Mär 2018

... Jeder, der die entsprechende Seite aufrief, konnte dort die IP-Adressen aller...


Folgen Sie uns
       


Hyundai Kona Elektro - Test

Das Elektro-SUV ist ein echter Langläufer.

Hyundai Kona Elektro - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

    •  /