Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Gefunden hat Schäfers das Parkhaus mit dem Netzwerkscanner Zmap. Mit diesem hat er nach Installationen der Parkhaus-Software gesucht, die öffentlich zugänglich sind, und wurde bei Microsoft fündig. Später stellte er fest, dass das Parkhaus sogar über eine einfache Google-Suchabfrage zu finden war - in den Top-Ergebnissen.

Stellenmarkt
  1. SAP Basis-Administrator (m/w/d)
    Stadtwerke Bonn GmbH, Bonn
  2. IT-Systemingenieur (m/w/d) Active Directory / Exchange
    Helios IT Service GmbH, Berlin
Detailsuche

Am 28. November meldete er seinen Fund an das Microsoft Cert (Computer Emergency Response Team). Dieses kündigte rund eine Woche später an, den Fall untersuchen zu wollen. Am 12. Dezember beendete Microsoft die Angelegenheit: "Wir haben den Fall untersucht und das zuständige Team über die gemeldeten Probleme informiert." Die Wartungsaufgabe falle nicht in ihren Zuständigkeitsbereich, auch ein Bug Bounty gebe es nicht. Kurz darauf war die Weboberfläche des Azure-Servers nicht mehr aus dem Internet zu erreichen, die RDP- und SMB-Ports waren jedoch immer noch offen.

Als wir kurz vor der geplanten Veröffentlichung des Vorfalls noch einmal einen Scan durchführen und die IP-Adresse aufrufen, staunen wir nicht schlecht, als wir wieder auf die Parkhaus-Software zugreifen können. Wir informieren das Microsoft Cert erneut und bitten die Pressestelle um eine Stellungnahme. "Die Seite wurde von einem Drittanbieter von Parksystemen gehostet, um die Parkplatzverfügbarkeit einiger Parkhäuser auf unserem Campus anzuzeigen. Mitarbeiter- oder Kundendaten wurden dabei nicht verarbeitet", erklärt Microsoft Golem.de. Das Microsoft-Parkhaus verschwindet nach unserem erneuten Hinweis wieder aus dem Internet, die fragwürdigen Ports bleiben jedoch erreichbar.

Keine Online-Parkhäuser

Wir erkundigen uns bei Indect, dem Hersteller der Parkhaus-Software, ob er den Server für Microsoft betreibt. Die österreichische Firma erklärt uns jedoch, dass sie die Software nur verkaufe, die Server jedoch nicht betreibe. "Obwohl wir unsere Partner und - wo wir Kontakt zum Kunden haben auch unsere Kunden - immer darauf hinweisen, Servern mit unserer Software keine öffentlichen IPs zu geben, damit diese eben nicht direkt per Browser erreichbar sind, halten sich leider nicht alle daran", erklärt Klaus Guhsl von Indect. Ein Online-Zugriff solle nur mit Passwortschutz oder per VPN möglich gemacht werden.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
Weitere IT-Trainings

Auch Guhsl führt eine Internetrecherche durch und findet wie Golem.de verschiedene Parkhäuser im Internet. Guhsl kündigt an, die betroffenen Kunden und Vertriebspartner zu informieren und ihnen erneut einen sicheren Betrieb der Software nahezulegen. Mehr kann er nicht tun. "Mit mittlerweile mehr als 600 installierten Systemen weltweit haben wir leider keinen direkten Einfluss auf alle Anlagen", sagt Guhsl. Die Parkhäuser von Microsoft sind jedenfalls vorläufig nicht mehr über das Internet zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Fusionsgespräche: Orange und Vodafone wollten zusammengehen
    Fusionsgespräche
    Orange und Vodafone wollten zusammengehen

    Die führenden Netzbetreiber in Europa wollen immer wieder eine Fusion. Auch aus den letzten Verhandlungen wurde jedoch bisher nichts.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /