Webseite von Bank und Kryptowährung offline

Wenige Tage später waren sowohl die Webseite der GDI-Bank als auch die des Tenso Networks nicht mehr abrufbar. Weitere Recherchen bestätigten unsere Vermutung, dass es die GDI-Bank überhaupt nicht gibt: In diversen online verfügbaren Listen von US-Banken war die GDI-Bank nirgends zu finden. Eine Bankleitzahl, die wir über den Google-Cache noch abrufen konnten, gehörte offenbar zu einer völlig anderen Bank.

Stellenmarkt
  1. Data Scientist (m/w/d)
    Kreissparkasse Ravensburg, Ravensburg
  2. IT-Service Desk Agent (m/w/d) 1st Level-Beschaffung
    HÜBNER GmbH & Co. KG, Kassel-Waldau
Detailsuche

Welche Hintergründe diese Fake-Bank hatte, konnten wir nicht herausfinden. Wir lernten aber etwas über ein echtes Sicherheitsproblem, das auch andere Webseiten betrifft: Ungeschützte Instanzen des Tools Telescope. Bei einem Scan fanden wir zahlreiche weitere Webseiten, die dasselbe Problem hatten. Auch über eine entsprechende Google-Suche findet man ungeschützte Installationen von Laravel Telescope. Ein Test, um nach unsicheren Telescope-Installationen zu suchen, steht im Tool Snallygaster bereit, das vom Autor dieses Textes entwickelt wird.

Unsicheres Telescope-Webinterface lässt sich leicht aus Versehen aktivieren

Wir installierten zum Testen eine Instanz von Laravel und anschließend Telescope. In der Standardeinstellung war das Tool sofort unter dem Pfad "/telescope" abrufbar - ohne Passwortschutz oder ähnliches.

Das Telescope-Webinterface ist automatisch in sogenannten local-Umgebungen von Laravel aktiv. Dabei handelt es sich um eine Einstellung, die nur bei der Entwicklung verwendet werden sollte. Für im Internet erreichbare Webseiten sollte diese auf production umgestellt werden, die Einstellung kann in der Datei .env vorgenommen werden.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    27./28.10.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Die Dokumentation von Telescope weist zwar darauf hin, allerdings gibt es keine deutliche Warnung, dass man hier sehr leicht ein extrem unsicheres Setup erstellen kann. Denn die "local"-Umgebung ist die Standardeinstellung von Laravel bei Neuinstallationen.

Nachtrag vom 29. Juni 2020, 16:05 Uhr

Die Webseite der angeblichen GDI-Bank ist seit kurzem wieder online. Weiterhin ist dort nur eine nicht erreichbare Mailadresse als Kontakt angegeben.

Als Reaktion auf unseren Bericht gab es einen Pullrequest im Github-Projekt von Laravel, der die unsichere Standardeinstellung geändert hätte. Der Request wurde aber von den Laravel-Entwicklern nach kurzer Zeit ohne Diskussion geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  1.  
  2. 1
  3. 2


Truster 08. Jul 2020

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.



Aktuell auf der Startseite von Golem.de
Core-i-13000
Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
Artikel
  1. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  2. Polizei NRW: Palantir-Software verteuert sich drastisch
    Polizei NRW
    Palantir-Software verteuert sich drastisch

    Nordrhein-Westfalen muss deutlich mehr Geld für eine Datenbanksoftware ausgeben. Doch es sollen damit schon Straftaten verhindert worden sein.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /