• IT-Karriere:
  • Services:

Sicherheitslücke: 800 Zugangsdaten waren auf CSU-Webserver auslesbar

Über mehrere Sicherheitslücken konnten Dateien und Datenbanken ausgelesen werden - darunter die Passwörter zum CSU-Intranet und Mailkonten.

Artikel veröffentlicht am ,
Auch Ministerpräsident Markus Söder (CSU) hatte ein schlechtes Passwort.
Auch Ministerpräsident Markus Söder (CSU) hatte ein schlechtes Passwort. (Bild: Lennart Preiss/Getty Images)

Bei der Analyse eines Webservers der CSU konnte der Sicherheitsexperte Heiko Frenzel mehrere Sicherheitslücken entdecken. Über diese konnte er an über 800 Zugangsdaten von CSU-Politikern gelangen, darunter 300 für das Intranet der CSU-Fraktion.

Stellenmarkt
  1. INTENSE AG, Köln
  2. DR. JOHANNES HEIDENHAIN GmbH, München

Laut einem Blogeintrag konnte Frenzel "zahlreiche Möglichkeiten für Cross-Site-Scripting (XSS)" entdecken. Hinzu komme eine SQL-Injektion, über die er die komplette Datenbank habe auslesen können. In dieser seien die 300 Zugangsdaten für das CSU-Intranet gewesen, deren Passwörter in dem leicht zu knackenden Hashverfahren MD5 vorlagen.

Entsprechend einfach waren die verwendeten Passwörter wie "andi2020" zu erraten. Nicht viel besser soll das Passwort des bayerischen Ministerpräsidenten Markus Söder sei: Es sei nur acht Zeichen lang und auch nicht sonderlich kreativ gewesen, schreibt Frenzel.

Eine Konfigurationsdatei mit Passwörtern zu E-Mail-Konten

Über eine weitere Sicherheitslücke sei eine File-Inclusion beziehungsweise der Download beliebiger Dateien von dem betroffenen Server möglich gewesen, schreibt der Sicherheitsexperte. Neben unzähligem anderen konnte er dort eine Konfigurationsdatei entdecken, die "sämtliche Webseiten der Abgeordneten, samt zugehörigen Zugangsdaten zur Datenbank, sowie zur Verwaltung der E-Mail-Konten des jeweiligen Abgeordneten und teilweise sogar FTP-Zugänge" enthielt. Eine Angreifergruppe hätte letztlich erhebliche Teile der Infrastruktur der CSU übernehmen können.

Die gefundenen Sicherheitslücken und die insgesamt über 800 Zugangsdaten meldete Frenzel einem Kontakt bei der CSU. Daraufhin seien die Sicherheitslücken zeitnah behoben worden. Die CSU bestätigte der Deutschen Presse Agentur, dass die Sicherheitslücken vor rund vier Monaten gemeldet wurden und der externe Dienstleister diese mittlerweile behoben hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

ibsi 05. Nov 2020 / Themenstart

mgmga2021 (make german Autobahn Maut great again)

quineloe 05. Nov 2020 / Themenstart

Die CSU kann von Glück sagen dass dieser lawful stupid white hat nicht das Postfach vom...

Kommentieren


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
    •  /