Sicherheitslücke bei Sicherheitsfirma

Durch ein unsicheres PHP-Skript waren offenbar über Monate die Daten Tausender Kunden des Berliner Sicherheitssoftware-Anbieters My Channel frei im Netz erhältlich.

In Pocket speichern vorlesen Druckansicht 403 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Torsten Kleinz

Durch ein unsicheres PHP-Skript auf der Seite dialersiegel.de waren offenbar über Monate die Daten Tausender Kunden des Berliner Sicherheitssoftware-Anbieters My Channel frei im Netz erhältlich. Namen, Adressen, Kontoverbindungen und Kreditkartendaten konnten über eine URL ausgelesen werden.

My-Channel-Geschäftsführer Peter Huth gab auf Nachfrage von heise online an, dass die Daten seit Oktober 2003 auf dem Server lagen. Sie seien auf dem dialersiegel-Webspace nur zwischengeparkt worden, als es bei einem anderen Server Probleme gab. Anschließend sei vergessen worden, die Datei wieder zu löschen. Huth will in den kommenden Tagen seine Kunden über das Datenloch informieren.

Dass man von außen auf die über 3 MByte große Datei zugreifen konnte, lag an einem unsicheren PHP-Skript, das eigentlich für die Navigation auf der Website eingesetzt wurde. Durch die Angabe von bestimmten Parametern konnten Außenstehende auf Dateien zugreifen, die in einem eigentlich nicht-öffentlichen Verzeichnis abgelegt waren. Dazu gehörte auch die Datei ".bash_history", die dokumentierte, wie die Datenbank-Dumps angelegt wurden und den Pfad zu den Dateien verriet. Das Sicherheitsproblem mit dem PHP-Skript wurde bereits im März in einem öffentlichen Forum publiziert. Auf der Homepage von Peter Huth gab es offenbar schon ähnliche Probleme, deren Beseitigung Huth durch einen Gruß dokumentierte.

Die Firma My Channel vertreibt vor allem Sicherheitsprogramme wie das Anti-Dialer-Tool Connection Watch. Auf der Seite dialersiegel.de wirbt Huths Firma "in Kooperation mit seriösen Anbietern von Internetdialern" für ein Gütesiegel für Dialer. Derzeit ist die Seite jedoch außer Betrieb.

(Torsten Kleinz) / (anw)