• IT-Karriere:
  • Services:

Webseite von Bank und Kryptowährung offline

Wenige Tage später waren sowohl die Webseite der GDI-Bank als auch die des Tenso Networks nicht mehr abrufbar. Weitere Recherchen bestätigten unsere Vermutung, dass es die GDI-Bank überhaupt nicht gibt: In diversen online verfügbaren Listen von US-Banken war die GDI-Bank nirgends zu finden. Eine Bankleitzahl, die wir über den Google-Cache noch abrufen konnten, gehörte offenbar zu einer völlig anderen Bank.

Stellenmarkt
  1. K&P Computer Service- und Vertriebs GmbH, verschiedene Standorte (Home-Office)
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Welche Hintergründe diese Fake-Bank hatte, konnten wir nicht herausfinden. Wir lernten aber etwas über ein echtes Sicherheitsproblem, das auch andere Webseiten betrifft: Ungeschützte Instanzen des Tools Telescope. Bei einem Scan fanden wir zahlreiche weitere Webseiten, die dasselbe Problem hatten. Auch über eine entsprechende Google-Suche findet man ungeschützte Installationen von Laravel Telescope. Ein Test, um nach unsicheren Telescope-Installationen zu suchen, steht im Tool Snallygaster bereit, das vom Autor dieses Textes entwickelt wird.

Unsicheres Telescope-Webinterface lässt sich leicht aus Versehen aktivieren

Wir installierten zum Testen eine Instanz von Laravel und anschließend Telescope. In der Standardeinstellung war das Tool sofort unter dem Pfad "/telescope" abrufbar - ohne Passwortschutz oder ähnliches.

Das Telescope-Webinterface ist automatisch in sogenannten local-Umgebungen von Laravel aktiv. Dabei handelt es sich um eine Einstellung, die nur bei der Entwicklung verwendet werden sollte. Für im Internet erreichbare Webseiten sollte diese auf production umgestellt werden, die Einstellung kann in der Datei .env vorgenommen werden.

Die Dokumentation von Telescope weist zwar darauf hin, allerdings gibt es keine deutliche Warnung, dass man hier sehr leicht ein extrem unsicheres Setup erstellen kann. Denn die "local"-Umgebung ist die Standardeinstellung von Laravel bei Neuinstallationen.

Nachtrag vom 29. Juni 2020, 16:05 Uhr

Die Webseite der angeblichen GDI-Bank ist seit kurzem wieder online. Weiterhin ist dort nur eine nicht erreichbare Mailadresse als Kontakt angegeben.

Als Reaktion auf unseren Bericht gab es einen Pullrequest im Github-Projekt von Laravel, der die unsichere Standardeinstellung geändert hätte. Der Request wurde aber von den Laravel-Entwicklern nach kurzer Zeit ohne Diskussion geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 46,99€
  3. (-91%) 1,20€

Truster 08. Jul 2020 / Themenstart

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020 / Themenstart

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020 / Themenstart

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020 / Themenstart

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.

Proctrap 29. Jun 2020 / Themenstart

Mir fehlt einfach die Neuigkeit. Eine beliebige fake Webseite, hat eine der typischen...

Kommentieren


Folgen Sie uns
       


The Last of Us 2 - Fazit

Überleben in der Postapokalypse: Im Actionspiel The Last of Us 2 erkunden wir mit der jungen Frau Ellie unter anderem die Stadt Seattle - und sinnen auf Rache für einen Mord.

The Last of Us 2 - Fazit Video aufrufen
    •  /