Bericht: Flughafen Düsseldorf schließt Sicherheitslücken

Der Flughafen Düsseldorf soll im vergangenen Dezember potentiell kritische Sicherheitslücken in mehreren Bereichen seiner Webseite geschlossen haben, wie aus einem bei der Schwachstellendatenbank Vulnerability-Lab veröffentlichten Advisory hervorgeht. Einem heise Security vorliegenden Datenbankauszug zufolge konnte man durch die SQL-Injection-Lücken offenbar auf die gesamte Datenbank zugreifen, in der neben persönlichen Daten und Passwörtern von Fluggästen und Partnern auch die Daten der Airliner Lounge gespeichert sind, auf die normalerweise nur Mitarbeiter der Fluglinien Zugriff haben.

Zudem finden sich in dem Auszug der Verweis auf die Tabelle "vip_personen", die anscheinend für die Speicherung prominenter Fluggäste vorgesehen ist. Laut Vulnerability-Lab ist des Weiteren der Zugriff auf Kreditkartendaten, Passagierlisten und sogar das Root-Passwort des Servers möglich gewesen.

Die Lücken befanden sich im Code der Webanwendungen für die Fotogalerie, der Shop-Übersicht sowie des Pressebereichs. Vulnerability-Lab hat den Flughafen nach eigenen Angaben bereits im April vergangenen Jahres über die Schwachstellen informiert. "Leider haben wir nie eine Rückmeldung erhalten. Die Lücken wurden erst vor wenigen Wochen geschlossen was wir bei einer Prüfung festgestellt haben", kritisierte der Sicherheitsexperte Benjamin Kunz Mejri gegenüber heise Security. Der Flughafen Düsseldorf hat auf unsere telefonischen und schriftlichen Anfragen bislang nicht reagiert.

Update vom 24.01.2010: Nach Angaben des Flughafens wurde das Problem von einem beauftragten Dienstleister entdeckt und bereits am 29.12.2010 geschlossen. Eine Zugriffsmöglichkeit auf Fluggastdaten, Kreditkarteninformationen oder Root-Passwörter habe es nach Aussage des Pressesprechers nicht gegeben. In der Tabelle "vip_personen" sollen sich lediglich Fantasiedaten befunden haben. Insgesamt waren während die Lücke bestand angeblich "weniger als 10.000 Datensätze" in der Datenbank gespeichert. (rei)