Piwik: Unberechtigte können Webseiten-Statistiken abrufen

Installationen der Google-Analytics-Alternative Piwik sind häufig nicht korrekt konfiguriert und Dritte können ohne viel Aufwand Abrufstatistiken einsehen und sogar herunterladen.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen
Piwik: Unberechtigte können Webseiten-Statistiken abrufen
Lesezeit: 1 Min.

Viele Admins haben das Analyse-Tool Piwik für Webseiten nicht ausreichend abgesichert. So könnten Außenstehende unter Umständen die Abrufstatistiken abfragen. Dabei sei es sogar oft möglich, mit Admin-Rechten auf das Dashboard zu zugreifen, wie der Sicherheitsforscher Marcus Roskosch berichtet.

Betroffene Webseiten hat Roskosch über die Google-Suche mit dem Suchbegriff allinurl:, um URLs zielgerichtet zu durchsuchen, und weiteren Such-Parametern gefunden. So gelangte er schlussendlich auf das Piwik-Dashboard einer Seite der Piratenpartei und konnte Abrufstatistiken einsehen. Auch Piwik-Installationen auf Webservern von verschiedenen Krankenhäusern, Unis, Firmen und der Polizei seien nicht ausreichend abgesichert.

Mit angepassten Suchparametern könne man zudem Abrufstatistiken in Tabellenform herunterladen. Außerdem konnte Roskosch auf einigen Webservern einen Blick auf Logdateien werfen.

[UPDATE, 03.06.2105 15:30]

Wie ein Sprecher der Piratenpartei gegenüber heise online mitteilte, sind die Abrufstatistiken der Webseite bewusst für jeden zugänglich. (des)