• IT-Karriere:
  • Services:

Datenschutz: BVG-Webseite verrät Besucher-IPs und Mailadressen

Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.

Artikel von Hanno Böck veröffentlicht am
Das war nicht so gedacht: Die BVG veröffentlichte die IPs von Webseitenbesuchern und teilweise deren Mailadressen ungeschützt im Netz.
Das war nicht so gedacht: Die BVG veröffentlichte die IPs von Webseitenbesuchern und teilweise deren Mailadressen ungeschützt im Netz. (Bild: Leif Jørgensen / Wikimedia Commons/CC-BY-SA 4.0)

Bei den Berliner Verkehrsbetrieben (BVG) hat es vergangene Woche eine Datenschutzpanne gegeben. Auf der Webseite konnte ungeschützt eine Statusseite des Apache-Webservers abgerufen werden, wie Golem.de bemerkt hat. Jeder, der die entsprechende Seite aufrief, konnte dort die IP-Adressen aller aktuellen Webseitenbesucher sowie URLs sehen. Teilweise enthielten die URLs auch E-Mail-Adressen.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Goldbeck GmbH, Monheim am Rhein, Hirschberg a.d. Bergstraße, Frankfurt, Bielefeld

Die Statusseite ist ein Standardfeature des Apache-Webservers und wird häufig falsch konfiguriert. Wie kritisch eine solche Fehlkonfiguration ist, hängt aber vom Einzelfall ab. Relevant ist vor allem, welche Daten in einer URL zu sehen sind und ob die IP-Adressen von Besuchern angezeigt werden.

Besonders kritisch an der BVG-Statusseite war, dass dort auch Mailadressen von Kunden einsehbar waren. Offenbar für einen API-Aufruf wird dort eine E-Mail-Adresse über eine GET-Variable übergeben.

Laut der BVG war die Status-Webseite nur für kurze Zeit öffentlich abrufbar. "Die Seite, auf die Sie uns dankenswerterweise hingewiesen haben, war einmalig in der Mittwochnacht sowie ab Donnerstagabend einsehbar", teilte die BVG-Pressestelle Golem.de mit. Auch habe es nur eine Handvoll erfolgreicher Zugriffe gegeben. Die BVG will durch ein Monitoring verhindern, dass künftig ähnliche Konfigurationsfehler auftreten.

Auch ProSiebenSat.1 betroffen

Allein ist die BVG mit diesem Problem nicht. Bei einem Scan fanden wir unzählige ähnliche Seiten. So lässt sich etwa eine entsprechende Statusseite auf zahlreichen Webseiten von Pro7 und Sat.1 finden.

Eine entsprechende Anfrage von Golem.de blieb unbeantwortet, die Seiten sind weiterhin abrufbar. Allerdings ist dieser Fall weniger kritisch, da dort nur interne IP-Adressen und keine persönlichen Daten zu finden sind.

In der Vergangenheit hat Golem.de bereits über ähnliche Fälle bei der Suchmaschine Ask.com und bei den Grünen berichtet.

Nachtrag vom 2. März 2018, 9:50 Uhr

Pro7 hat den Zugriff auf die entsprechende Seite mittlerweile gesperrt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

katze_sonne 02. Mär 2018

Klar, loggen kann man vieles. Aber die aufgerufenen Adressen / URLs werden ja wohl fast...

d/cYpher 02. Mär 2018

dass die pro7-page nen ähnlichen bug hat, mit dem sich anonymisierte bewegungsprofile auf...

Anonymer Nutzer 01. Mär 2018

scannen kann man, nur wieso landet es im google cache? im allgemeinen gibt es keine links...

Der_aKKe 01. Mär 2018

... Jeder, der die entsprechende Seite aufrief, konnte dort die IP-Adressen aller...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /