Abo
  • Services:
Anzeige
Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Sicherheitslücke bei FCC: Die FCC akzeptiert Malware-Uploads

Bei der FCC konnten Nutzer beliebige Dateien hochladen.
Bei der FCC konnten Nutzer beliebige Dateien hochladen. (Bild: Gemeinfrei)

Bei der US-Kommunikationsbehörde FCC können Nutzer über eine API Stellungnahmen hochladen. Das Problem: Mit dem richtigen API-Schlüssel konnten dort beliebige Dokumente hochgeladen werden, so dass Angreifer den Regierungsserver für Malware- und Phishing-Kampagnen nutzen können.

Die Federal Communications Commission (FCC) ist der oberste Telekomregulierer in den USA - doch in puncto Sicherheit muss die Behörde wohl noch ordentlich dazulernen. Eine fehlerhaft konfigurierte API ermöglichte Nutzern, beliebige Dateien bis zu einer Größe von 25 MByte hochzuladen. Nach dem Upload sind die Dateien per Link weltweit verfügbar. Verifiziert sind Uploads mit den Dateiendungen PDF, GIf, Elf, Exe und MP4.

Anzeige

Der Blogger Guise Bule hatte unter Verweis auf eine anonyme Quelle zunächst über den Fehler berichtet. Tatsächlich gibt es zahlreiche öffentlich verfügbare Dokumente, die nicht von der FCC selbst stammen dürften. Unter Hinweis auf die kontroverse Diskussion um die Aufhebung der Regeln zur Netzeneutralität in den USA steht in einem etwa: "Fuck Net Neutrality. God bless America".

Keine speziellen Hacking-Kenntnisse notwendig

Die Ausnutzung der mittlerweile behobenen Lücke erforderte keine speziellen Kenntnisse. Es reichte, sich nach den Regeln der Dokumentation der FCC einen Schlüssel für die API zu besorgen. Darüber konnten die gewünschten Dokumente hochgeladen werden. Je nachdem, von wem die Sicherheitslücke ausgenutzt wird, kann es mehr als nur peinlich werden. Denn neben Protestbotschaften an die FCC könnten Angreifer auch Malware oder Phishing-Kampagnen auf einem Server mit offizieller Regierungsadresse hosten.

Die hochgeladenen Dokumente sind weiterhin verfügbar. Neue API-Schlüssel werden derzeit offenbar nicht vergeben, allerdings soll ein zu Demonstrationszwecken auf der Webseite angegebener Schlüssel weiterhin funktionieren.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Computacenter AG & Co. oHG, München, Stuttgart
  2. Robert Bosch GmbH, Leonberg
  3. Computacenter AG & Co. oHG, Frankfurt
  4. SCHOTT AG, Mitterteich


Anzeige
Spiele-Angebote
  1. etwa 8,38€
  2. (-8%) 45,99€
  3. 19,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  2. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  3. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  4. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  5. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  6. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  7. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  8. Die Woche im Video

    Das muss doch einfach schneller gehen!

  9. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  10. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Wenn man sich anschaut, wie grade radikale...

    Der Held vom... | 13:41

  2. Mehr Ärzte und Ingenieure braucht das Land

    Gandalf2210 | 13:39

  3. Re: DOW Jones +30% in nur einem Jahr

    Baron Münchhausen. | 13:37

  4. Gut, dass wir Politiker wie Sigmar Gabriel haben

    Boa-Teng | 13:36

  5. Re: Grüner Populisten Bullshit

    M.P. | 13:32


  1. 13:15

  2. 12:31

  3. 14:35

  4. 14:00

  5. 13:30

  6. 12:57

  7. 12:26

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel