SicherheitslĂĽcke auf Webserver der Schufa

Durch eine Sicherheitslücke auf einem Webserver der Schufa war es möglich, auf nicht zum Download vorgesehene Dateien zuzugreifen.

In Pocket speichern vorlesen Druckansicht 112 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Dr. Harald Bögeholz

Der IT Security Consultant David Vieira-Kurz hat in seinem Blog eine Sicherheitslücke auf einem Webserver der Schufa gemeldet: Im Download-Bereich von www.meineschufa.de war es möglich, durch eine Manipulation des Download-Links auf nicht zum Download vorgesehene Dateien zuzugreifen. Solch eine File-Inclusion-Lücke ist eine ernste Sache, weil man dadurch im Prinzip auf beliebige Dateien des Webservers Zugriff erhält, insbesondere auf die Quelltexte der in PHP geschriebenen Webanwendung, die in der Regel wertvolle Hinweise enthalten, um einem Hacker das weitere Vorgehen zu erleichtern.

Mittlerweile scheint die LĂĽcke geschlossen zu sein; jedenfalls liefern die Download-Links im Formularbereich keine Formulare mehr aus.

Die Schufa – Schutzgemeinschaft für allgemeine Kreditsicherung – liefert kreditrelevante Informationen über Personen wie zum Beispiel über offene Forderungen an Banken, Sparkassen und den Handel. Der betroffene Webserver meineschufa.de ist das Portal, über das Bürger die über sie gespeicherten Daten abrufen können.

Update: Dr. Christian Seidenabel, Leiter Presse- und Öffentlichkeitsarbeit versicherte gegenüber heise online, dass es zu keinem Zeitpunkt möglich gewesen sei, Zugang zu personenbezogenen Daten zu erhalten. Darüber hinaus habe man mit Vieira-Kurz Kontakt aufgenommen, um ihn für eine weitere Sicherheitsüberprüfung der Web-Site zu gewinnen. (bo)