• IT-Karriere:
  • Services:

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.

Ein Bericht von veröffentlicht am
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird.
Das Debuggingtool Telescope für Laravel kann leicht so konfiguriert werden, dass es zu einem Sicherheitsproblem wird. (Bild: Ryan Wick (bearbeitet Martin Wolf)/CC-BY 2.0)

Eine Fehlkonfiguration des Tools Telescope für das PHP-Framework Laravel kann zu einer gefährlichen Sicherheitslücke führen. Golem.de-Leser Jeremias Wolff hat eine entsprechende verwundbare Konfiguration auf der Webseite einer Bank gefunden und uns darauf hingewiesen. Nach einigen Recherchen stellten wir fest: Die Sicherheitslücke war echt, die Bank jedoch nicht. Auch andere Webseiten sind von dem Problem betroffen.

Inhalt:
  1. Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
  2. Webseite von Bank und Kryptowährung offline

Telescope ist ein Debuggingtool, mit dem man beispielsweise HTTP-Requests detailliert analysieren kann, die von einer Laravel-Anwendung verarbeitet werden. Auf der Webseite der GDI-Bank war dieses Telescope-Interface ungeschützt für alle abrufbar. Dabei verrät Telescope auch Request-Variablen und Cookies. Sprich: Wer auf das Telescope-Interface zugreifen kann, der findet dort vermutlich auch Passwörter von Nutzern und Session-Cookies - genügend Informationen also, um sich bei einer Onlinebank Zugang zu den Accounts von Nutzern zu verschaffen.

Bank nicht erreichbar, zahlreiche tote Links

Wie in solchen Fällen üblich, haben wir zunächst versucht, die Bank auf das Problem hinzuweisen. Denn bevor wir über die Sicherheitslücke berichten, wollten wir natürlich dafür sorgen, dass die Bank die Möglichkeit hat, das Problem zu beheben und ihre Kunden zu schützen. Doch der Kontakt mit der GDI-Bank gestaltete sich schwierig - und ließ uns nach einiger Zeit zweifeln, ob diese überhaupt existiert.

Auf der Webseite fand sich ein Link, der Kontaktinformationen für Pressevertreter versprach. Doch bei einem Klick auf den Link passierte nichts. Auch Links auf Social-Media-Profile und viele weitere Links auf der Webseite waren defekt.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Dillingen an der Donau
  2. Bundeskriminalamt, Wiesbaden

Als einzige Online-Kontaktmöglichkeit fanden wir eine E-Mail-Adresse für Supportanfragen. Dort schickten wir unsere Anfrage hin. Als Antwort erhielten wir nach wenigen Sekunden eine Fehlermeldung. Die angebliche Support-Mailadresse gab es nicht.

Eine Adresse hatte die GDI-Bank offenbar auch nicht. Die Angaben über Dollarbeträge auf der Webseite ließen uns vermuten, dass es sich wohl um eine US-Bank handelt. Neben dem Bankgeschäft fanden wir Hinweise auf das Tenso Network. Dabei handelt es sich - angeblich - um eine Kryptowährung. Doch auch über die Tenso Coin fanden wir wenig Infos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Webseite von Bank und Kryptowährung offline 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 22,99€
  3. 16,49€

Truster 08. Jul 2020 / Themenstart

Das ist allein das Werk von Cabal

Wootonator 30. Jun 2020 / Themenstart

Ich hab das auch alles mal gelernt. Aber ich hab vorher nicht drüber geschimpft sondern...

Vögelchen 30. Jun 2020 / Themenstart

Ich habe unter der Mondoberfläche eine Tafel Schokolade, eine Goldmünze und ein wichtiges...

dschu 29. Jun 2020 / Themenstart

Dachte auch direkt an Kitboga. Der hat sie allerdings imho in einer VM laufen.

Proctrap 29. Jun 2020 / Themenstart

Mir fehlt einfach die Neuigkeit. Eine beliebige fake Webseite, hat eine der typischen...

Kommentieren


Folgen Sie uns
       


LG Gram 14 (14Z90N) im Test

Das LG Gram 14 ist weniger als 1 kg leicht und kann trotzdem durch lange Akkulaufzeit überzeugen. Das Deutschlanddebüt des Geräts ist gelungen.

LG Gram 14 (14Z90N) im Test Video aufrufen
Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
Ryzen 7 Mobile 4700U im Test
Der bessere Ultrabook-i7

Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
Ein Test von Marc Sauter

  1. Ryzen 4000G (Renoir) AMD bringt achtkernige Desktop-APUs mit Grafikeinheit
  2. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  3. Ryzen 3000XT im Test Schneller dank Xtra Transistoren

Funkverschmutzung: Wer stört hier?
Funkverschmutzung
Wer stört hier?

Ob WLAN, Bluetooth, IoT oder Radioteleskope - vor allem in den unlizenzierten Frequenzbändern funken immer mehr elektronische Geräte. Die Folge können Störungen und eine schlechtere Performance der Geräte sein.
Ein Bericht von Jan Rähm

  1. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  2. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  3. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


      •  /