• IT-Karriere:
  • Services:

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.

Ein Bericht von veröffentlicht am
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird.
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird. (Bild: Ryan Wick (bearbeitet Martin Wolf)/CC-BY 2.0)

Eine Fehlkonfiguration des Tools Telescope für das PHP-Framework Laravel kann zu einer gefährlichen Sicherheitslücke führen. Golem.de-Leser Jeremias Wolff hat eine entsprechende verwundbare Konfiguration auf der Webseite einer Bank gefunden und uns darauf hingewiesen. Nach einigen Recherchen stellten wir fest: Die Sicherheitslücke war echt, die Bank jedoch nicht. Auch andere Webseiten sind von dem Problem betroffen.

Inhalt:
  1. Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  2. Webseite von Bank und Kryptowährung offline

Telescope ist ein Debuggingtool, mit dem man beispielsweise HTTP-Requests detailliert analysieren kann, die von einer Laravel-Anwendung verarbeitet werden. Auf der Webseite der GDI-Bank war dieses Telescope-Interface ungeschützt für alle abrufbar. Dabei verrät Telescope auch Request-Variablen und Cookies. Sprich: Wer auf das Telescope-Interface zugreifen kann, der findet dort vermutlich auch Passwörter von Nutzern und Session-Cookies - genügend Informationen also, um sich bei einer Onlinebank Zugang zu den Accounts von Nutzern zu verschaffen.

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig - und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Stellenmarkt
  1. NOVENTI Health SE, München
  2. Bundesanzeiger Verlag GmbH, Köln

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich - angeblich - um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webseite von Bank und Kryptowährung offline 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 44,49€

Truster 08. Jul 2020 / Themenstart

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020 / Themenstart

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020 / Themenstart

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020 / Themenstart

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.

Proctrap 29. Jun 2020 / Themenstart

Mir fehlt einfach die Neuigkeit. Eine beliebige fake Webseite, hat eine der typischen...

Kommentieren


Folgen Sie uns
       


Huawei Mate Xs im Test

Das Mate Xs von Huawei ist ein Smartphone mit faltbarem Display - und für uns das erste, das vom Design her alltagstauglich ist. Das dürfte allerdings zu Lasten der Widerstandsfähigkeit gehen.

Huawei Mate Xs im Test Video aufrufen
    •  /