• IT-Karriere:
  • Services:

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.

Ein Bericht von veröffentlicht am
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird.
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird. (Bild: Ryan Wick (bearbeitet Martin Wolf)/CC-BY 2.0)

Eine Fehlkonfiguration des Tools Telescope für das PHP-Framework Laravel kann zu einer gefährlichen Sicherheitslücke führen. Golem.de-Leser Jeremias Wolff hat eine entsprechende verwundbare Konfiguration auf der Webseite einer Bank gefunden und uns darauf hingewiesen. Nach einigen Recherchen stellten wir fest: Die Sicherheitslücke war echt, die Bank jedoch nicht. Auch andere Webseiten sind von dem Problem betroffen.

Inhalt:
  1. Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  2. Webseite von Bank und Kryptowährung offline

Telescope ist ein Debuggingtool, mit dem man beispielsweise HTTP-Requests detailliert analysieren kann, die von einer Laravel-Anwendung verarbeitet werden. Auf der Webseite der GDI-Bank war dieses Telescope-Interface ungeschützt für alle abrufbar. Dabei verrät Telescope auch Request-Variablen und Cookies. Sprich: Wer auf das Telescope-Interface zugreifen kann, der findet dort vermutlich auch Passwörter von Nutzern und Session-Cookies - genügend Informationen also, um sich bei einer Onlinebank Zugang zu den Accounts von Nutzern zu verschaffen.

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig - und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Stellenmarkt
  1. PROSOZ Herten GmbH, Herten (Ruhrgebiet), Home Office
  2. BG-Phoenics GmbH, Hannover, Berlin, Frankfurt am Main, Mannheim, Dresden

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich - angeblich - um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webseite von Bank und Kryptowährung offline 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. MSI GeForce RTX 3060 VENTUS 3X OC 12G für 589€)
  2. Heute um 18 Uhr Release der RTX 3060

Truster 08. Jul 2020

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.

Proctrap 29. Jun 2020

Mir fehlt einfach die Neuigkeit. Eine beliebige fake Webseite, hat eine der typischen...


Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
    XPS 13 (9310) im Test
    Dells Ultrabook ist besser denn je

    Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
    Ein Test von Marc Sauter

    1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
    2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
    3. XPS 13 (9300) im Test Dells i-Tüpfelchen

    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

      •  /