Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Eine Fehlkonfiguration des Tools Telescope für das PHP-Framework Laravel kann zu einer gefährlichen Sicherheitslücke führen. Golem.de-Leser Jeremias Wolff hat eine entsprechende verwundbare Konfiguration auf der Webseite einer Bank gefunden und uns darauf hingewiesen. Nach einigen Recherchen stellten wir fest: Die Sicherheitslücke war echt, die Bank jedoch nicht. Auch andere Webseiten sind von dem Problem betroffen.

Telescope ist ein Debuggingtool, mit dem man beispielsweise HTTP-Requests detailliert analysieren kann, die von einer Laravel-Anwendung verarbeitet werden. Auf der Webseite der GDI-Bank war dieses Telescope-Interface ungeschützt für alle abrufbar. Dabei verrät Telescope auch Request-Variablen und Cookies. Sprich: Wer auf das Telescope-Interface zugreifen kann, der findet dort vermutlich auch Passwörter von Nutzern und Session-Cookies - genügend Informationen also, um sich bei einer Onlinebank Zugang zu den Accounts von Nutzern zu verschaffen.

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig - und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Stellenmarkt

1. Serviceexperte (m/w/d) IT Identity Management (IDM) & AD
   Dürr IT Service GmbH, Bietigheim-Bissingen
2. Full Stack Developer (m/w/d) im Bereich Java-Entwicklung
   SG Service IT GmbH, Osnabrück

Detailsuche

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich - angeblich - um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.