20.07.2004 20:31
Sicherheitslücke bei Sicherheitsfirma
Durch ein unsicheres PHP-Skript auf der Seite dialersiegel.de waren offenbar über Monate die Daten Tausender Kunden des Berliner Sicherheitssoftware-Anbieters My Channel frei im Netz erhältlich. Namen, Adressen, Kontoverbindungen und Kreditkartendaten konnten über eine URL ausgelesen werden.
My-Channel-Geschäftsführer Peter Huth gab auf Nachfrage von heise online an, dass die Daten seit Oktober 2003 auf dem Server lagen. Sie seien auf dem dialersiegel-Webspace nur zwischengeparkt worden, als es bei einem anderen Server Probleme gab. Anschließend sei vergessen worden, die Datei wieder zu löschen. Huth will in den kommenden Tagen seine Kunden über das Datenloch informieren.
Dass man von außen auf die über 3 MByte große Datei zugreifen konnte, lag an einem unsicheren PHP-Skript, das eigentlich für die Navigation auf der Website eingesetzt wurde. Durch die Angabe von bestimmten Parametern konnten Außenstehende auf Dateien zugreifen, die in einem eigentlich nicht-öffentlichen Verzeichnis abgelegt waren. Dazu gehörte auch die Datei ".bash_history", die dokumentierte, wie die Datenbank-Dumps angelegt wurden und den Pfad zu den Dateien verriet. Das Sicherheitsproblem mit dem PHP-Skript wurde bereits im März in einem öffentlichen Forum publiziert. Auf der Homepage von Peter Huth gab es offenbar schon ähnliche Probleme, deren Beseitigung Huth durch einen Gruß dokumentierte.
Die Firma My Channel vertreibt vor allem Sicherheitsprogramme wie das Anti-Dialer-Tool Connection Watch. Auf der Seite dialersiegel.de wirbt Huths Firma "in Kooperation mit seriösen Anbietern von Internetdialern" für ein Gütesiegel für Dialer. Derzeit ist die Seite jedoch außer Betrieb.
(Torsten Kleinz) / (Torsten Kleinz)
/
(anw)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
