Sicherheitspanne bei Versatel

Zwei Fehlkonfigurationen führten vergangene Woche zu einem Datenleck beim Telekommunikationsdienstleister Versatel. So war einem c't-Leser der Zugriff auf Teile der Mailserverinfrastruktur und der dort abgelegten Mails möglich. Aufgefallen war das Problem beim Einrichten eines Linux-Rechners in einem Windows-Netzwerk und der anschließenden Suche nach anderen Rechnern mit dem LAN Information Server (LISa). Dabei tauchten über die bestehende DSL-Verbindung mehrere Adressen aus dem Netz 192.168.153.0 auf, die offenbar zu Versatel gehörten.

Mehrere der gefundenen Systeme exportierten für jedermann mountbare Volumes über das Network File System (NFS), auf denen in zahlreichen Unterverzeichnissen die Mails von Versatel-Kunden und Kunden von Versatel-Partnerunternehmen abgelegt waren. Nach einem Hinweis des Lesers behob Versatel das Problem innerhalb weniger Stunden.

Nach Angaben von Hanno Benz, Pressesprecher von Versatel, war eine Fehlkonfiguration einer Firewall zum Schutz der Mail-Plattformen Ursache der Lücke. Eines der für die Mail-Plattform benutzten Storage-Systeme war dadurch von außen erreichbar. Betroffen soll jedoch nur eines, nach dem Zusammenschluss verschiedener Carrier noch zu migrierendes System gewesen sein. Dabei kam noch ein weiterer Fehler hinzu: In der Standardeinstellung exportierte es Verzeichnisse per NFS. Allerdings soll zu keinem Zeitpunkt der schreibende Zugriff möglich gewesen sein. Nach Angaben von Benz war die Mailhauptplattform nicht betroffen.

Versatel hat laut Benz den Vorfall zum Anlass genommen, einen Sicherheitstest aller im Einsatz befindlichen Storage-Systeme durch ein externes Unternehmen in Auftrag zu geben. Zudem wurden die zyklisch im Haus stattfindenden Überprüfungen der Sicherheit aller Serversysteme vorgezogen und sofort ausgeführt. Daneben will sich das Unternehmen bei dem Entdecker der Lücke ausdrücklich für die Mithilfe bedanken und sich "in angemessener Form" dafür erkenntlich zeigen. (dab)