Webseite von Bank und Kryptowährung offline

Wenige Tage später waren sowohl die Webseite der GDI-Bank als auch die des Tenso Networks nicht mehr abrufbar. Weitere Recherchen bestätigten unsere Vermutung, dass es die GDI-Bank überhaupt nicht gibt: In diversen online verfügbaren Listen von US-Banken war die GDI-Bank nirgends zu finden. Eine Bankleitzahl, die wir über den Google-Cache noch abrufen konnten, gehörte offenbar zu einer völlig anderen Bank.

Stellenmarkt
  1. Informatiker (m/w/d)
    Hochschule für Fernsehen und Film München, München
  2. (Senior) Consultant (m/w/d) Success Factors
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
Detailsuche

Welche Hintergründe diese Fake-Bank hatte, konnten wir nicht herausfinden. Wir lernten aber etwas über ein echtes Sicherheitsproblem, das auch andere Webseiten betrifft: Ungeschützte Instanzen des Tools Telescope. Bei einem Scan fanden wir zahlreiche weitere Webseiten, die dasselbe Problem hatten. Auch über eine entsprechende Google-Suche findet man ungeschützte Installationen von Laravel Telescope. Ein Test, um nach unsicheren Telescope-Installationen zu suchen, steht im Tool Snallygaster bereit, das vom Autor dieses Textes entwickelt wird.

Unsicheres Telescope-Webinterface lässt sich leicht aus Versehen aktivieren

Wir installierten zum Testen eine Instanz von Laravel und anschließend Telescope. In der Standardeinstellung war das Tool sofort unter dem Pfad "/telescope" abrufbar - ohne Passwortschutz oder ähnliches.

Das Telescope-Webinterface ist automatisch in sogenannten local-Umgebungen von Laravel aktiv. Dabei handelt es sich um eine Einstellung, die nur bei der Entwicklung verwendet werden sollte. Für im Internet erreichbare Webseiten sollte diese auf production umgestellt werden, die Einstellung kann in der Datei .env vorgenommen werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Die Dokumentation von Telescope weist zwar darauf hin, allerdings gibt es keine deutliche Warnung, dass man hier sehr leicht ein extrem unsicheres Setup erstellen kann. Denn die "local"-Umgebung ist die Standardeinstellung von Laravel bei Neuinstallationen.

Nachtrag vom 29. Juni 2020, 16:05 Uhr

Die Webseite der angeblichen GDI-Bank ist seit kurzem wieder online. Weiterhin ist dort nur eine nicht erreichbare Mailadresse als Kontakt angegeben.

Als Reaktion auf unseren Bericht gab es einen Pullrequest im Github-Projekt von Laravel, der die unsichere Standardeinstellung geändert hätte. Der Request wurde aber von den Laravel-Entwicklern nach kurzer Zeit ohne Diskussion geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  1.  
  2. 1
  3. 2


Truster 08. Jul 2020

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.

Proctrap 29. Jun 2020

Mir fehlt einfach die Neuigkeit. Eine beliebige fake Webseite, hat eine der typischen...



Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  2. Social-Media-Plattform: Paypal will Pinterest kaufen
    Social-Media-Plattform
    Paypal will Pinterest kaufen

    Der Zahlungsabwickler Paypal soll bereit sein, 45 Milliarden US-Dollar für den Betreiber digitaler Pinnwände zu bezahlen.

  3. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /