l+f: Tag der offenen Tür bei Sparkassen-Automat
Ein Kontoservice-Terminal der Sparkasse erlaubte ungewohnte Einblicke in seinen Windows-Unterbau – einschließlich Kommandozeile und Registry-Editor.
- Ronald Eikenberg
Am gestrigen Dienstag berichtete uns ein Leser von einer beunruhigen Entdeckung: In einer nordrhein-westfälischen Sparkassen-Filiale präsentierte ihm ein Kontoservice-Terminal des Typs Wincor Nixdorf ProConsult 2000 die für Techniker bestimmte Wartungsoberfläche WNKonf. Darüber waren offenbar unter anderem die Windows-Kommandozeile und der Registry-Editor aufrufbar. Dass man damit kritische Einstellungen manipulieren kann, ist wahrscheinlich – ausprobiert hat es unser Leser natürlich nicht.
Da sich die Mitarbeiter der Filiale zum Zeitpunkt der Entdeckung gerade in der Mittagspause befanden, wandte sich unser Leser an die Redaktion. Wir haben die Sparkasse anschließend über das Problem informiert, woraufhin das Gerät vorläufig aus dem Verkehr gezogen wurde.
Der Fall erinnert an einen Bug, den der Sicherheitsforscher Benjamin Kunz Mejri in dem gleichen Gerätemodell entdeckt hat: Durch eine Tastenkombination auf der vandalismussicheren Tastatur gelang es dem Forscher ebenfalls, eine Konsole zu öffnen.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security (rei)
