Sicherheitsloch bei T-Systems Österreich

Durch ein Sicherheitsloch im Webauftritt der österreichischen Tochter von T-Systems waren zwei Tage lang kritische Daten auf dem Webserver der Öffentlichkeit zugänglich. Über die Angabe von Pfaden und Dateinamen in zusätzlichen Parametern konnte jeder auf die Dateien des Webservers zugreifen, beispielsweise /etc/passwd. Nach Angaben von Armin Plank, Country Security Officer Austria bei T-Systems, war die Ursache ein fehlerhaftes PHP-Skript.

Bei T-Systems.at wusste man bereits am Dienstag von der Lücke, konnte den Fehler allerdings nicht auf die Schnelle beheben. Am Mittwoch, in Österreich ein Feiertag (Mariä Empfängnis), kursierten Links zu der Sicherheitslücke bereits in IRC-Channeln. Am Mittwoch trafen auch die ersten Leser-Mails bei heise Security ein, die auf die Lücke aufmerksam machten. Auch t-systems.at wusste seit Mittwoch, dass das Sicherheitsloch zumindest einem kleinen Personenkreis schon bekannt ist. Plank bestätigte gegenüber heise Security, dass die Sicherheitslücke bereits in IRC-Channeln geposted wurde. Trotzdem entschied man sich, den Fehler erst am nächsten Werktag zu beheben; es sei ohnehin geplant gewesen, den Web-Auftritt auf die eigene Konzern-Plattform zu verlegen. "Wir haben beschlossen, unseren Internet-Auftritt nicht zu gefährden", sagte Plank gegenüber heise Security. Man habe außerdem davon abgesehen, das Sicherheitsloch provisorisch zu stopfen, weil man davon ausging, dass die Daten ohnehin schon kopiert worden seien, sagte Plank.

Nach erneuter telefonischer Anfrage am heutigen Freitagmorgen wurde die Schwachstelle dann endlich beseitigt. Momentan wird die Seite umgelenkt und zeigt den Inhalt der deutschen T-Systems, im Laufe des Tages soll aber auch das behoben sein und der gesamte Web-Auftritt auf der österreichischen Konzern-Plattform laufen. (pab)