Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.

Ein Bericht von veröffentlicht am
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird.
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird. (Bild: Ryan Wick (bearbeitet Martin Wolf)/CC-BY 2.0)

Eine Fehlkonfiguration des Tools Telescope für das PHP-Framework Laravel kann zu einer gefährlichen Sicherheitslücke führen. Golem.de-Leser Jeremias Wolff hat eine entsprechende verwundbare Konfiguration auf der Webseite einer Bank gefunden und uns darauf hingewiesen. Nach einigen Recherchen stellten wir fest: Die Sicherheitslücke war echt, die Bank jedoch nicht. Auch andere Webseiten sind von dem Problem betroffen.

Inhalt:
  1. Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  2. Webseite von Bank und Kryptowährung offline

Telescope ist ein Debuggingtool, mit dem man beispielsweise HTTP-Requests detailliert analysieren kann, die von einer Laravel-Anwendung verarbeitet werden. Auf der Webseite der GDI-Bank war dieses Telescope-Interface ungeschützt für alle abrufbar. Dabei verrät Telescope auch Request-Variablen und Cookies. Sprich: Wer auf das Telescope-Interface zugreifen kann, der findet dort vermutlich auch Passwörter von Nutzern und Session-Cookies - genügend Informationen also, um sich bei einer Onlinebank Zugang zu den Accounts von Nutzern zu verschaffen.

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig - und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Stellenmarkt
  1. SAP FI/CO Berater (m/w/x)
    über duerenhoff GmbH, Raum Berlin
  2. Fachkraft IT-Applikationsmanagement (m/w/d)
    Kreisausschuss Wetteraukreis, Friedberg (Hessen)
Detailsuche

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich - angeblich - um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webseite von Bank und Kryptowährung offline 
  1. 1
  2. 2
  3.  


Truster 08. Jul 2020

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.



Aktuell auf der Startseite von Golem.de
Grenzüberwachung
Frontex installiert Kameras in der Stratosphäre

Mit Höhenplattformen will die EU-Grenzagentur die Lücke zwischen ihren Flugzeugen, Drohnen und Satelliten schließen.

Grenzüberwachung: Frontex installiert Kameras in der Stratosphäre
Artikel
  1. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower  
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

  2. Centaur CHA im Test: Der letzte x86-Prozessor seiner Art
    Centaur CHA im Test
    Der letzte x86-Prozessor seiner Art

    Weil Centaur von Intel übernommen wurde, ist der CHA-Chip nie erschienen. Ein achtkerniger Prototyp gewährt dennoch spannende Einblicke.
    Ein Test von Marc Sauter

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /