Sicherheitslücke auf Webserver der Schufa
Durch eine Sicherheitslücke auf einem Webserver der Schufa war es möglich, auf nicht zum Download vorgesehene Dateien zuzugreifen.
Der IT Security Consultant David Vieira-Kurz hat in seinem Blog eine Sicherheitslücke auf einem Webserver der Schufa gemeldet: Im Download-Bereich von www.meineschufa.de war es möglich, durch eine Manipulation des Download-Links auf nicht zum Download vorgesehene Dateien zuzugreifen. Solch eine File-Inclusion-Lücke ist eine ernste Sache, weil man dadurch im Prinzip auf beliebige Dateien des Webservers Zugriff erhält, insbesondere auf die Quelltexte der in PHP geschriebenen Webanwendung, die in der Regel wertvolle Hinweise enthalten, um einem Hacker das weitere Vorgehen zu erleichtern.
Mittlerweile scheint die Lücke geschlossen zu sein; jedenfalls liefern die Download-Links im Formularbereich keine Formulare mehr aus.
Die Schufa – Schutzgemeinschaft für allgemeine Kreditsicherung – liefert kreditrelevante Informationen über Personen wie zum Beispiel über offene Forderungen an Banken, Sparkassen und den Handel. Der betroffene Webserver meineschufa.de ist das Portal, über das Bürger die über sie gespeicherten Daten abrufen können.
Update: Dr. Christian Seidenabel, Leiter Presse- und Öffentlichkeitsarbeit versicherte gegenüber heise online, dass es zu keinem Zeitpunkt möglich gewesen sei, Zugang zu personenbezogenen Daten zu erhalten. Darüber hinaus habe man mit Vieira-Kurz Kontakt aufgenommen, um ihn für eine weitere Sicherheitsüberprüfung der Web-Site zu gewinnen. (bo)
