• IT-Karriere:
  • Services:

SQL-Dump aufgetaucht: Generalbundesanwalt.de gehackt

Einem Angreifer ist es gelungen, den Inhalt der Datenbank der Webseite des Generalbundesanwalts herunterzuladen. Der Angriff dürfte eine Reaktion auf die Ermittlungen gegen Netzpolitik.org darstellen.

Artikel veröffentlicht am ,
Screenshot mit einem Teil der Tabellennamen
Screenshot mit einem Teil der Tabellennamen (Bild: Alexander Merz/Golem.de)

Mit Hilfe eines automatisierten Penetrationswerkzeuges für SQL-Injections wurde die Webseite des Generalbundesanwalts angegriffen. Damit gelang es dem Angreifer, den Inhalt der Datenbank auszulesen, mit der die Webseite betrieben wird. Der Inhalt wurde in Form eines SQL-Dumps veröffentlicht.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Rational AG, Landsberg

Der Großteil des 9,5 MByte großen Dumps besteht aus den öffentlich einsehbaren Texten der Webseite. Allerdings zeigt der Dump ebenfalls, dass auf der Webseite der PHPFileNavigator installiert ist oder war. Mit diesem Werkzeug können Dateien und Verzeichnisse auf einem Webserver über ein Webinterface verwaltet werden. Im Dump enthalten sind die Benutzernamen und gehashten Passwörter für den Zugriff auf den PHPFileNavigator sowie die realen Namen von PHP-Skripten und Verzeichnisstrukturen. Ein Angreifer könnte damit Einblick in die Skripte nehmen und auch selbst Skripte hochladen. Dadurch sind potenziell weitere Angriffe möglich beziehungsweise kann ein Angreifer darüber Zugriff auf Dokumente erhalten, die nicht direkt über die Webseite selbst zugänglich sind.

  • Am Wochenende, nach dem der SQL-Dump publiziert wurde, wurde die Datenbank vom Betreiber deaktiviert. (Screenshot: Alexander Merz/Golem.de)
Am Wochenende, nach dem der SQL-Dump publiziert wurde, wurde die Datenbank vom Betreiber deaktiviert. (Screenshot: Alexander Merz/Golem.de)

Die Programmierer der Webseite machten es den Angreifern anscheinend recht einfach. Sie verzichteten auf die Prüfung und Filterung von Parametern in der URL oder implementierten sie fehlerhaft. Dadurch war es möglich, die SQL-Datenbank-Anweisung in den PHP-Skripten um eigene Anweisungen und Parameter zu ergänzen. Über derart manipulierte SQL-Anweisungen ist es möglich, mehr Inhalte aus der Datenbank auszulesen als vom Programmierer vorgesehen oder gar Inhalte zu manipulieren.

Der Angriff auf die Webseite dürfte eine Reaktion auf die Ermittlung des Generalbundesanwalts gegen die Betreiber des Blogs Netzpolitik.org wegen Landesverrats sein. Das Blog veröffentlichte im Frühjahr 2015 Etat- und Planungsdokumente des Verfassungsschutzes.

Nachtrag vom 3. August 2015, 10:36 Uhr

Mittlerweile kann auf die Datenbank nicht mehr zugegriffen werden. Die Webseite liefert auf einigen Seiten entsprechende Fehlerhinweise. Laut der Pressestelle des Generalbundesanwalts wurde die Datenbank in der Nacht vom Sonntag zum Montag von den Betreibern vom Netz genommen, um weitere potenzielle Angriffe zu unterbinden.

Nachtrag vom 3. August 2015, 15:38 Uhr

Am Montagnachmittag, dem 3. August 2015, wurde die Datenbank wieder aktiviert, die Webseite läuft nun ohne weitere Fehlermeldungen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Nintendo Switch 270,00€, Gigabyte GeForce RTX 2070 Super Gaming OC für 479,00€, Zotac...
  2. 59,99€ (PC)/ 69,99€ (PS4, Xbox) - Release am 20. März
  3. 68,90€
  4. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...

nglsr 04. Aug 2015

Einfach mal den Mauszeiger auf dem Bild ruhen lassen. Und herzlich willkommen auf xkcd.

Xiut 04. Aug 2015

Das habe ich genau wo geschrieben?! Ich habe geschrieben, dass man sich ein wichtiges...

schily 03. Aug 2015

Sind solche Durchsuchungen nicht normal, wenn gegen Verfassungsfeinde ermittelt wird? ;-)

gbpa005 03. Aug 2015

Es liefert nur einen Rechtfertigungsgrund für ein hartes Durchgreifen von Behörden. Man...

TheBigLou13 02. Aug 2015

Chapeau! Habe herzlich grinsen müssen.


Folgen Sie uns
       


Datenbasierte Archäologie im DAI

Idai World ist ein System, um archäologische Daten aufzubereiten und online zugänglich zu machen. Benjamin Ducke vom Deutschen Archäologischen Institut stellt es vor.

Datenbasierte Archäologie im DAI Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /