Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig – und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich – angeblich – um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.

Webseite von Bank und Kryptowährung offline

Wenige Tage später waren sowohl die Webseite der GDI-Bank als auch die des Tenso Networks nicht mehr abrufbar. Weitere Recherchen bestätigten unsere Vermutung, dass es die GDI-Bank überhaupt nicht gibt: In diversen online verfügbaren Listen von US-Banken war die GDI-Bank nirgends zu finden. Eine Bankleitzahl, die wir über den Google-Cache noch abrufen konnten, gehörte offenbar zu einer völlig anderen Bank.

Welche Hintergründe diese Fake-Bank hatte, konnten wir nicht herausfinden. Wir lernten aber etwas über ein echtes Sicherheitsproblem, das auch andere Webseiten betrifft: Ungeschützte Instanzen des Tools Telescope. Bei einem Scan fanden wir zahlreiche weitere Webseiten, die dasselbe Problem hatten. Auch über eine entsprechende Google-Suche findet man ungeschützte Installationen von Laravel Telescope. Ein Test, um nach unsicheren Telescope-Installationen zu suchen(öffnet im neuen Fenster), steht im Tool Snallygaster(öffnet im neuen Fenster) bereit, das vom Autor dieses Textes entwickelt wird.

Unsicheres Telescope-Webinterface lässt sich leicht aus Versehen aktivieren

Wir installierten zum Testen eine Instanz von Laravel und anschließend Telescope. In der Standardeinstellung war das Tool sofort unter dem Pfad "/telescope" abrufbar – ohne Passwortschutz oder ähnliches.

Das Telescope-Webinterface ist automatisch in sogenannten local-Umgebungen von Laravel aktiv. Dabei handelt es sich um eine Einstellung, die nur bei der Entwicklung verwendet werden sollte. Für im Internet erreichbare Webseiten sollte diese auf production umgestellt werden, die Einstellung kann in der Datei .env vorgenommen werden.

Die Dokumentation von Telescope weist zwar darauf hin(öffnet im neuen Fenster), allerdings gibt es keine deutliche Warnung, dass man hier sehr leicht ein extrem unsicheres Setup erstellen kann. Denn die "local"-Umgebung ist die Standardeinstellung von Laravel bei Neuinstallationen.

Nachtrag vom 29. Juni 2020, 16:05 Uhr

Die Webseite der angeblichen GDI-Bank ist seit kurzem wieder online. Weiterhin ist dort nur eine nicht erreichbare Mailadresse als Kontakt angegeben.

Als Reaktion auf unseren Bericht gab es einen Pullrequest im Github-Projekt von Laravel(öffnet im neuen Fenster), der die unsichere Standardeinstellung geändert hätte. Der Request wurde aber von den Laravel-Entwicklern nach kurzer Zeit ohne Diskussion geschlossen.

• Anzeige Hier geht es zu den aktuellen Blitzangeboten bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.