• IT-Karriere:
  • Services:

Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Gefunden hat Schäfers das Parkhaus mit dem Netzwerkscanner Zmap. Mit diesem hat er nach Installationen der Parkhaus-Software gesucht, die öffentlich zugänglich sind, und wurde bei Microsoft fündig. Später stellte er fest, dass das Parkhaus sogar über eine einfache Google-Suchabfrage zu finden war - in den Top-Ergebnissen.

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. Hays AG, München

Am 28. November meldete er seinen Fund an das Microsoft Cert (Computer Emergency Response Team). Dieses kündigte rund eine Woche später an, den Fall untersuchen zu wollen. Am 12. Dezember beendete Microsoft die Angelegenheit: "Wir haben den Fall untersucht und das zuständige Team über die gemeldeten Probleme informiert." Die Wartungsaufgabe falle nicht in ihren Zuständigkeitsbereich, auch ein Bug Bounty gebe es nicht. Kurz darauf war die Weboberfläche des Azure-Servers nicht mehr aus dem Internet zu erreichen, die RDP- und SMB-Ports waren jedoch immer noch offen.

Als wir kurz vor der geplanten Veröffentlichung des Vorfalls noch einmal einen Scan durchführen und die IP-Adresse aufrufen, staunen wir nicht schlecht, als wir wieder auf die Parkhaus-Software zugreifen können. Wir informieren das Microsoft Cert erneut und bitten die Pressestelle um eine Stellungnahme. "Die Seite wurde von einem Drittanbieter von Parksystemen gehostet, um die Parkplatzverfügbarkeit einiger Parkhäuser auf unserem Campus anzuzeigen. Mitarbeiter- oder Kundendaten wurden dabei nicht verarbeitet", erklärt Microsoft Golem.de. Das Microsoft-Parkhaus verschwindet nach unserem erneuten Hinweis wieder aus dem Internet, die fragwürdigen Ports bleiben jedoch erreichbar.

Keine Online-Parkhäuser

Wir erkundigen uns bei Indect, dem Hersteller der Parkhaus-Software, ob er den Server für Microsoft betreibt. Die österreichische Firma erklärt uns jedoch, dass sie die Software nur verkaufe, die Server jedoch nicht betreibe. "Obwohl wir unsere Partner und - wo wir Kontakt zum Kunden haben auch unsere Kunden - immer darauf hinweisen, Servern mit unserer Software keine öffentlichen IPs zu geben, damit diese eben nicht direkt per Browser erreichbar sind, halten sich leider nicht alle daran", erklärt Klaus Guhsl von Indect. Ein Online-Zugriff solle nur mit Passwortschutz oder per VPN möglich gemacht werden.

Auch Guhsl führt eine Internetrecherche durch und findet wie Golem.de verschiedene Parkhäuser im Internet. Guhsl kündigt an, die betroffenen Kunden und Vertriebspartner zu informieren und ihnen erneut einen sicheren Betrieb der Software nahezulegen. Mehr kann er nicht tun. "Mit mittlerweile mehr als 600 installierten Systemen weltweit haben wir leider keinen direkten Einfluss auf alle Anlagen", sagt Guhsl. Die Parkhäuser von Microsoft sind jedenfalls vorläufig nicht mehr über das Internet zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Razer Atheris Stormtrooper Edition Gaming-Maus für 32,20€, Speedlink SCELUS Pro High End...
  2. ab 299,90€ Bestpreis auf Geizhals
  3. ab 74,71€ Bestpreis auf Geizhals
  4. mit 340,01€ Tiefpreis bei Geizhals

gaym0r 20. Jan 2020

Man stelle sich die Cloud-Provider vor, die alle Ports dicht machen... :-)

bofhl 17. Jan 2020

Nur wenn man sie bereits vor Langem darüber informierte - mehrfach - und keine echte...


Folgen Sie uns
       


Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

    •  /