CCC

Unsichere Webserver bei Bundesfinanzagentur

Der Chaos Computer Club hat eigenen Angaben zufolge schwere Sicherheitslücken bei der Konfiguration der Webserver der Bundesfinanzagentur gefunden. Dadurch soll unter anderem über Jahre hinweg Phishing von Benutzerdaten möglich gewesen sein.

Artikel veröffentlicht am ,
CCC: Unsichere Webserver bei Bundesfinanzagentur

Zwei Lücken hat der Chaos Computer Club (CCC) nach einem anonymen Hinweis bei den Webservern der Finanzagentur gefunden. Zum einen sei das Einstellen eigener Angebote möglich gewesen. Zum anderen hätte jeder Anwender per Browser Veränderungen an Finanzangeboten der Agentur vornehmen können, schreibt der Club.

  • Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)
  • Fehlermeldung auf den Administratiosseiten (Screenshot vom 11.03.2011)
Die Finanzagentur ist offline. (Screenshot vom 11.03.2011)

Die schlecht konfigurierten Apache-Server seien zudem für Kunden der Finanzagentur als Umleitung und damit für Phishing verwendbar gewesen. Benutzerdaten hätten dadurch durch einen Aufruf des Systems für Onlinebanking der Agentur abgefangen und an andere Webserver weitergeleitet werden können. Ob es sich dabei um typische Angriffe per Cross-Site-Scripting (XSS) handelt, teilte der Club nicht mit. Derzeit weist die Startseite der Agentur auf Wartungsarbeiten hin, die noch den gesamten Freitag andauern sollen. Einige direkt erreichbare Seiten geben auch nur eine Fehlermeldung aus - offenbar wurden große Teile des Systems vom Netz genommen.

CCC-Sprecher Dirk Engling kommentiert: "Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel". Berichte über dadurch entstandene Schäden liegen noch nicht vor.

Die "Bundesrepublik Deutschland - Finanzagentur GmbH" führt als staatliches Unternehmen Finanzdienstleistungen für die Bundesrepublik durch. Sie kümmert sich vor allem um die Kreditaufnahme des Bundes und dessen Schuldenmanagement.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Zertifikate
Trustico verwundbar für Root-Code-Injection
artikel-bild
Datenschutz
BVG-Webseite verrät Besucher-IPs und Mailadressen
artikel-bild
Connect 2017
Microsoft setzt weiter auf Enterprise-Open-Source
Meistgelesen
artikel-bild
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source
artikel-bild
Startrampe Set
Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz
artikel-bild
The Beekeeper
Ein Mann gegen die Ransomware-Industrie
Kommentarübersicht
Re: Und die wollen einen Killswitch ?
MatthiasOp 12. Mär 2011

Zu Punkt 1: Ein bisschen unsachlich, meinst du nicht. Ich bin schon froh, wählen zu...

mir wird schlecht...
Anonymer Nutzer 11. Mär 2011

in Bezug auf VDS und Zugangserschwerungsgesetz wenn ich sowas lesen muss... Die schaffen...

Muss ja auch ..
Didatus 11. Mär 2011

.. wie wollen die sonst der GEZ alle Daten zur Verfügung stellen, ohne es öffentlich zu...

Aktuell auf der Startseite von Golem.de
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source

Nachdem der ehemalige CTO eine alte MS-DOS-Floppy entdeckt hat, veröffentlicht Microsoft ein Stück Betriebssystem-Geschichte.

Quellcode auf Github: MS-DOS 4.00 ist jetzt Open Source
Artikel
  1. Startrampe Set: Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz
    Startrampe Set
    Lego bietet Milchstraße und Nasa-Rakete Artemis als Bausatz

    Lego hat zwei neue Sets vorgestellt, die für Weltraumenthusiasten gedacht sind: das Nasa-Artemis-Startrampen-Set und das Milchstraßen-Galaxie-Set.

  2. Tarifrunde: Montag erneut Streiktag bei der Deutschen Telekom
    Tarifrunde
    Montag erneut Streiktag bei der Deutschen Telekom

    Beim letzten Warnstreik bei der Telekom waren 12.500 Beschäftigte beteiligt. Diesmal wird breiter mobilisiert. Die Telekom versucht Schadensbegrenzung.

  3. Auszieh-Apps: Apple entfernt KI-Nudify-Apps aus dem App Store
    Auszieh-Apps
    Apple entfernt KI-Nudify-Apps aus dem App Store

    Apps, die Personen per KI ungefragt digital ausziehen, sind beliebt. Nun entfernt Apple einige dieser Anwendungen aus dem App Store - aber erst nach Hinweisen von Journalisten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti im Sale • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /