Menü
Security

Website von Wolfgang Schäuble über Typo3-Lücke gehackt [Update]

Von
vorlesen Drucken Kommentare lesen 466 Beiträge

Wer die gestern gemeldete Lücke im Content Management System Typo3 noch nicht behoben hat, sollte das von den Entwicklern bereitgestellte Update jetzt durchführen. Verwundbare Seiten lassen sich via Google leicht aufspüren und dann sehr schnell verunstalten.

Über die Typo3-Lücke entstellt: die Web-Site des Innenministers

Das musste auch Wolfgang Schäuble feststellen, dessen Web-Site gestern Nacht mit einem prominenten Link auf Informationen zur Vorratsdatenspeicherung des Arbeitskreises Vorratsdatenspeicherung versehen wurde. Mit einem Hinweis auf das Typo3-Update verrieten die Aktivisten auch, wie sie in das System gekommen waren: Sie konnten offenbar über eine spezielle URL die Konfigurationsdatei localconf.php abrufen. Erschwerend hinzu kam, dass sich der dort abgelegte Passwort-Hash für die Administration via Google auffinden und somit leicht knacken ließ.

Am Mittwochmorgen war die persönliche Webseite des Bundesinnenministers noch nicht wieder in ihren vom Betreiber eigentlich vorgesehenen Zustand zurückversetzt. Es ist auch nicht das erste Mal, dass die persönliche Seite des Innenministers durch Probleme mit der Sicherheit auffiel.

Update:
Die Webseite wird derzeit anscheinend überarbeitet und gibt nur noch die Meldung "Die gewünschte Seite ist temporär nicht ereichbar" aus. Das Passwort war übrigens "gewinner". (ju)