Abo
  • Services:
Anzeige
Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Sicherheitslücke bei FCC: Die FCC akzeptiert Malware-Uploads

Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Bei der US-Kommunikationsbehörde FCC können Nutzer über eine API Stellungnahmen hochladen. Das Problem: Mit dem richtigen API-Schlüssel konnten dort beliebige Dokumente hochgeladen werden, so dass Angreifer den Regierungsserver für Malware- und Phishing-Kampagnen nutzen können.

Die Federal Communications Commission (FCC) ist der oberste Telekomregulierer in den USA - doch in puncto Sicherheit muss die Behörde wohl noch ordentlich dazulernen. Eine fehlerhaft konfigurierte API ermöglichte Nutzern, beliebige Dateien bis zu einer Größe von 25 MByte hochzuladen. Nach dem Upload sind die Dateien per Link weltweit verfügbar. Verifiziert sind Uploads mit den Dateiendungen PDF, GIf, Elf, Exe und MP4.

Anzeige

Der Blogger Guise Bule hatte unter Verweis auf eine anonyme Quelle zunächst über den Fehler berichtet. Tatsächlich gibt es zahlreiche öffentlich verfügbare Dokumente, die nicht von der FCC selbst stammen dürften. Unter Hinweis auf die kontroverse Diskussion um die Aufhebung der Regeln zur Netzeneutralität in den USA steht in einem etwa: "Fuck Net Neutrality. God bless America".

Keine speziellen Hacking-Kenntnisse notwendig

Die Ausnutzung der mittlerweile behobenen Lücke erforderte keine speziellen Kenntnisse. Es reichte, sich nach den Regeln der Dokumentation der FCC einen Schlüssel für die API zu besorgen. Darüber konnten die gewünschten Dokumente hochgeladen werden. Je nachdem, von wem die Sicherheitslücke ausgenutzt wird, kann es mehr als nur peinlich werden. Denn neben Protestbotschaften an die FCC könnten Angreifer auch Malware oder Phishing-Kampagnen auf einem Server mit offizieller Regierungsadresse hosten.

Die hochgeladenen Dokumente sind weiterhin verfügbar. Neue API-Schlüssel werden derzeit offenbar nicht vergeben, allerdings soll ein zu Demonstrationszwecken auf der Webseite angegebener Schlüssel weiterhin funktionieren.


eye home zur Startseite

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. digatus it consulting GmbH, München
  3. Stadtwerke München GmbH, München
  4. Fresenius Kabi Deutschland GmbH, Bad Homburg


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. bei Caseking

Folgen Sie uns
       


  1. Ransomware

    Redboot stoppt Windows-Start und kann nicht entschlüsseln

  2. Dan Cases C4-H2O

    9,5-Liter-Gehäuse mit 240-mm-Radiator

  3. iPhone 8 Plus im Test

    Warten auf das X

  4. Ignite 2017

    Microsoft 365 zeigt LinkedIn-Informationen von Kontakten an

  5. Twitter

    Aggressive Trump-Tweets wegen Nachrichtenwert nicht gelöscht

  6. Mototok

    Elektroschlepper rangieren BA-Flugzeuge

  7. MacOS High Sierra

    MacOS-Keychain kann per App ausgelesen werden

  8. Sendersuchlauf

    Unitymedia erstattet Kunden die Kosten für Fernsehtechniker

  9. Spielebranche

    US-Synchronsprecher bekommen mehr Geld und Transparenz

  10. Ignite 2017

    Microsoft 365 kommt auch für Schüler und Fabrikarbeiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apple iOS 11 im Test: Alte Apps weg, Daten weg, aber sonst alles gut
Apple iOS 11 im Test
Alte Apps weg, Daten weg, aber sonst alles gut
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Kein App Store mehr iOS-Nutzer sollten das neue iTunes nicht installieren

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Bundestagswahl 2017: Ein Hoffnungsschimmer für die Netzpolitik
Bundestagswahl 2017
Ein Hoffnungsschimmer für die Netzpolitik
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Störerhaftung abgeschafft Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

  1. Re: Das sind mal Stundensätze

    gadthrawn | 12:44

  2. Re: Battle Royal keine Erfindung von PU

    Yueka | 12:42

  3. Re: "Das soll ...

    chewbacca0815 | 12:41

  4. Re: Die Atmen App...

    Niaxa | 12:41

  5. Re: "Dafür ist das Format [HEIF] nicht so...

    Its_Me | 12:40


  1. 12:42

  2. 12:22

  3. 12:02

  4. 11:55

  5. 11:43

  6. 11:28

  7. 11:00

  8. 10:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel