TMI: Zugangsdaten zum Backend der Freien-Wähler-Webseite in einer Fehlermeldung (Bild: @t3easy_de auf Twitter )

Ein Konfigurations-Anfängerfehler ermöglichte vollen Zugang auf den kompletten Webauftritt der Partei, inklusive aller gespeicherter Dokumente und Zugangsdaten.

Die Freien Wähler Bayern haben nach der Landtagswahl am vergangenen Sonntag ungewollt die Zugangsdaten für die MySQL-Datenbank ihrer Website veröffentlicht. Wohl auf Grund des großen Stimmenzuwachses bei der Wahl kam es auf der Seite der Partei zu einem Besucheransturm, dem der Webserver offensichtlich nicht gewachsen war. Das resultierte in einer Fehlermeldung durch Typo3, dem Content Management System der Seite, in der auch die Zugangsdaten zum MySQL-Server des Backends auftauchten. Ein fataler Konfigurations-Anfängerfehler, der potenziellen Angreifern Tür und Tor zum Einbruch in die Systeme der Webseite öffnete.

Spätestens seit einem Tweet am Wahlabend als Antwort auf einen Twitter-Zweizeiler der ZDF Heute Show, der einen Screenshot der Fehlerseite enthielt, weiß die Öffentlichkeit von dieser fatalen Sicherheitslücke. Auf dem Server kommt zum Teil Software zum Einsatz, die anscheinend seit Jahren nicht mehr gepatcht wurde. Momentan ist nicht klar, ob dieses Problem den Administratoren der Seite oder dem Hoster Mittwald zu verdanken ist – im letzteren Fall würde es unter Umständen weitere Kunden des Hosters betreffen.

Kompletter Zugriff auf den Online-Auftritt der Partei

Nach Informationen, die heise online vorliegen, war es möglich, sich mit den MySQL-Zugangsdaten in das CMS der Webseite einzuloggen und dessen Benutzerkonten und Passwort-Hashes auszulesen. Außerdem bestand Zugriff auf die Admin-Oberfläche des Freien-Wähler-Kundenkontos beim Hoster. Unseres Wissens nach hätte sich ein Angreifer Zugang zu allen auf dem Server gespeicherten Dokumenten verschaffen können – höchstwahrscheinlich ist das auch in mehreren Fällen passiert. Mit dieser Art Zugang hätten Angreifer auch den auf der Webseite aktiven Code manipulieren und Schadcode einschleusen können, der Besucher der Webseite oder deren Administratoren angreift. Ob das passierte, ist bis dato nicht bekannt. Sobald uns weitere Informationen vorliegen, werden wir darüber berichten.

Nach dem Angriff auf den CSU-Online-Shop ist dies nun schon der zweite Sicherheits-Zwischenfall einer Partei-Webseite im Zusammenhang mit der Landtagswahl im Freistaat. Die Vorfälle zeigen, dass auch Lokalpolitiker schnell Opfer von Angriffen auf ihre Web-Präsenzen werden können und dass sie diese dringend besser absichern müssen.

Update 16.10.2018, 11:47 Uhr

Der Webhoster der Freien-Wähler-Seite, Mittwald, teilte uns über Twitter mit, dass er seinen Kunden "immer die aktuellste Software zur Verfügung" stelle und diese über neue Versionen und Sicherheitslücken informiere. Die Aktualisierung der Software auf den entsprechenden Systemen liege aber beim Kunden, so Mittwald.

Update 16.10.2018, 15:20 Uhr

In einer Stellungnahme bestätigen die Freien Wähler Bayern die Fehlkonfiguration ihrer Typo3-Installation. Man habe aus Versehen den Debug-Modus aktiviert. Die Fehlermeldung sei in der Tat durch den Besucheransturm nach der ersten Hochrechnung entstanden. Dass dieses Verhalten und damit das Datenleck ausgelöst wurde, wird in der Stellungnahme als "sehr unwahrscheinlich" charakterisiert. Trotzdem bedeute es, dass "technisch versierte User" die Möglichkeit gehabt hätten, "auf die Datenbank zuzugreifen und Inhalte zu verändern." Man könne "nicht zu 100% ausschließen, dass diese Daten eingesehen wurden" und habe alle entsprechenden Mitarbeiter der Seite darüber benachrichtigt.

Zwischenzeitlich steht Mittwald im regen Kontakt zu heise online. Der Hoster, der äußerst schnell auf die Kontaktaufnahme unsererseits reagiert hatte, betont erneut, dass man die eigenen Systeme sicher halte. Alle Mittwald-Kunden hätten die Möglichkeit, die aktuellsten Typo3-, PHP- und MySQL-Versionen einzusetzen. Demnach hätten die Administratoren der Freien Wähler Bayern es durchaus in der Hand gehabt, die eigene Webseite abzudichten. (fab)