Abo
  • Services:
Anzeige
Die Webseite von Redcoon
Die Webseite von Redcoon (Bild: Screenshot Golem.de)

Sicherheitslücke: Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon

Die Webseite von Redcoon
Die Webseite von Redcoon (Bild: Screenshot Golem.de)

Was haben der Online-Händler Redcoon und die Volksverschlüsselung gemeinsam? Ein unsicher konfiguriertes Git-Repository. Immer wieder machen Webseitenbetreiber denselben Fehler.
Von Hauke Gierow

Immer wieder werden Webseiten entdeckt, die durch eine fehlerhafte Konfiguration des Versionsverwaltungssystems Git vertrauliche Daten preisgeben. Aktuell sind der Onlinehändler Redcoon und die Webseite des Volksverschlüsselungsprojektes des Fraunhofer Institut für Sichere Informationstechnologie (SIT) betroffen. Das Problem mit den fehlerhaften Konfigurationen ist seit längerem bekannt, bereits aus dem Jahr 2008 gibt es entsprechende Berichte, damals noch mit der Versionsverwaltung SVN. Viele Webseitenbetreiber machen den Fehler aber immer noch.

Anzeige

Wird ein Git-Repository zur Verwaltung von Webseiten eingesetzt, gibt es ein Unterverzeichnis mit dem Namen .git, in dem sich Metadaten und Änderungen des Repositorys in codierter Form befinden. Über das Problem hatte der Sicherheitsexperte Jamie Brown zuletzt im Jahr 2015 berichtet.

Auf das Problem bei dem Onlinehändler Redcoon wies uns der Golem.de-Leser Alexander Schneider hin. Er hatte in den Dateien mehrere API-Tokens von Google, Facebook und der Deutschen Post entdeckt, außerdem Hinweise auf "Payment Transaction Logs". Nach einem Hinweis an die Pressestelle des zu Media Markt und Saturn gehörenden Unternehmens wurde die Schwachstelle behoben, die Daten sind somit nicht mehr einsehbar.

Im aktuellen Fall wurden offenbar keine Kundendaten veröffentlicht, allerdings einige Tokens für Facebook und Google-Konten, die während der Einrichtung der Webseite verwendet wurden. Es dürfte sich dabei um Testaccounts von Redcoon handeln. Auch der Ordner Payment Transaction Logs enthielt keine kritischen Daten, sondern Beispieldaten für die Einrichtung der Webseite. Selbst wenn in diesem Fall also offenbar kein Schaden für Nutzer entstanden ist, sollten Webseitenbetreiber darauf achten, ihre Seiten richtig zu konfigurieren, vor allem, wenn diese professionell betrieben werden.

Ein Unternehmenssprecher teilte auf Anfrage mit: "Wir haben das entsprechende Verzeichnis umgehend gelöscht, auch wenn zu keiner Zeit Zugriff auf personenbezogene Daten, Zahlungsdaten oder sonstige vertrauliche Informationen bestand. In dem Verzeichnis befanden sich lediglich Beispieldateien für das von uns verwendete Shopsystem sowie Zugangsdaten zu Testsystemen und Diensten, die keine personenbezogenen Daten verwenden oder übermitteln."

Auch Volksverschlüsselung betroffen

Ein ähnliches Problem hatte das Volksverschlüsselungsprojekt des Fraunhofer Instituts für Sichere Informationstechnologie vor einigen Wochen, wie der Hacker und Golem.de-Autor Hanno Böck entdeckte. Die Webseite der Volksverschlüsselung wurde ebenfalls in Git entwickelt, dort konnten wir unter anderem ein Datenbankpasswort extrahieren. Dieses Passwort lautete "safran" und entspricht damit nicht gängigen Tipps für sichere Passwörter. Die Betreiber haben nach einem Hinweis von Golem.de reagiert. Mittlerweile wurde das Passwort geändert und die Konfiguration angepasst. Fraunhofer wies daraufhin, dass die Datenbank mit dem unsicheren Passwort nicht zur Verwaltung von Kundendaten eingesetzt wurde.

Ob eine Seite verwundbar ist oder nicht, kann relativ einfach geprüft werden: Wenn bei einer Webseite der Pfad http://www.beispiel.de/.git/config abrufbar ist, kann ein Angreifer Daten herunterladen. Wenn dann auf dem Server auch noch das Directory-Listing aktiv ist, ist das sehr einfach. Aber selbst bei deaktiviertem Directory-Listing können mit Hilfe von Tools des Projektes Internetwache.org Dateien heruntergeladen werden. Ein ähnliches Werkzeug für SVN hat Hanno Böck entwickelt.


eye home zur Startseite
__destruct() 14. Mai 2017

Danke!

Themenstart

__destruct() 13. Mai 2017

Das beantwortest du dir gleich selbst: Einfach in das Device File schreiben. Weil ich...

Themenstart

ecv 13. Mai 2017

Die sind auf dem Server, aber nicht im Internet. Ich hab den Ordner public mit einer...

Themenstart

Apfelbrot 12. Mai 2017

Da viele Firmen auf Testsystemen mit einer Kopie der Originaldatenbank arbeiten glaube...

Themenstart

tingelchen 12. Mai 2017

An dieser Stelle sehe ich da kein Problem. Mittels Rewrite Rules und Routing kann man die...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  2. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  3. DATAGROUP Business Solutions GmbH, verschiedene Standorte
  4. Garz & Fricke GmbH, Hamburg


Anzeige
Top-Angebote
  1. 449,00€ (Bestpreis!)
  2. 19,99€ für Prime-Mitglieder (Vergleichspreis 30€)
  3. 699€ (Bestpreis!)

Folgen Sie uns
       


  1. Dateien

    iOS-Dateimanager erhält Zugriff auf weitere Clouddienste

  2. Lucidcam

    3D-Kamera mit 180-Grad-Sicht kommt in den Handel

  3. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  4. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  5. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  6. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  7. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  8. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  9. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  10. Gmail

    Google scannt Mails künftig nicht mehr für Werbung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Prime Reading Amazon startet dritte Lese-Flatrate in Deutschland
  2. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  2. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  3. Quantenoptik Vom Batman-Fan zum Quantenphysiker

  1. Re: Jeder Anbeiter MUSS klagen..

    chefin | 07:13

  2. Re: Schlechter Artikel

    Vielfalt | 07:07

  3. Re: Was genau ist hier das Besondere?

    NaruHina | 07:06

  4. Re: Industrie dort ansiedeln, wo die Ressourcen sind

    der_Volker | 07:03

  5. Re: Will ich als Telekom Kunde nicht

    Solear | 06:49


  1. 07:25

  2. 07:16

  3. 14:37

  4. 14:28

  5. 12:01

  6. 10:37

  7. 13:30

  8. 12:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel