Deutsche Kreditbank AG schließt Sicherheitslücke im Internetauftritt.
Die Deutsche Kreditbank AG hat ein Informationsleck geschlossen, mit dem man Anträge für Girokonten mit ausführlichen persönlichen Daten einsehen konnte.
Auf dem Webserver der Deutschen Kreditbank (DKB) war es bis Mittwoch möglich, Kunden-Anträge zur Eröffnung von Girokonten einzusehen. Durch die Angabe eines speziellen Verzeichnisses in einer URL konnte man auf Dokumente der letzten zwei Wochen zugreifen. Die Anträge waren als PDF-Dokumente abrufbar und enthielten personenbezogenen Daten, neben Namen und voller Anschrift unter anderem auch das monatliche Nettoeinkommen. Nach dem Hinweis eines Lesers auf dieses Problem verifizierte heise Security die Sicherheitslücke und informierte die DKB. Deren Provider, IZB, konfigurierte zwar die Server um, vollständig ist der Fehler aber immer noch nicht beseitigt.
Die Dokumentennamen sind zwar aus Session-IDs zusammengestellt und somit schwer zu erraten. Da aber das Directory Browsing aktiviert war, der Klassiker unter den Apache-Fehlkonfigurationen, konnte man direkt darauf zugreifen. Mittlerweile ist das Browsing deaktiviert, der Zugriff auf die Dokumente ist aber prinzipiell immer noch möglich, sofern man den Namen des Dokuments kennt. Nach Aussage von Alexander Lehsten, Mitarbeiter der Niederlassung Internet der DKB, nimmt man das Problem sehr ernst und arbeitet mit IZB weiterhin an einer Lösung. Durch zufällig erzeugte IDs will man die Vorhersagbarkeit von Dokumentennamen erschweren und zusätzlich die Dokumente nach 10 Minuten löschen. Diese werden ohnehin nur erzeugt, damit Internetkunden online erstellte Anträge am heimischen PC ausdrucken und speichern können. (dab)
