MSI RTX 2080 Serie

Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

reported by doelf, Mittwoch der 17.10.2018, 12:47:30 Uhr

"Digitalisierung ist unsere Zukunft" schreiben die Freien Wähler Bayern auf ihrer Webseite. Weiter heißt es: "Gegen Cyberangriffe müssen wir uns engagiert rüsten und ein hohes Datenschutzniveau für Sie als Bürger sicherstellen". Doch für den eigenen Webauftritt gelten diese Forderungen anscheinend nicht.

Die Webseite der Freien Wähler Bayern basiert auf dem Content-Management-System TYPO3, welches seine Inhalte in einer MySQL-Datenbank speichert. Dies ist ein gängiges Konstrukt und es kann, wie immer wenn eine Datenbank direkt ohne zusätzliche Cache-Ebenen eingebunden ist, zu einer Überlastung kommen. Konfrontiert mit zu vielen Anfragen wirft die MySQL-Datenbank das Handtuch und die auf diese zugreifenden Scripte melden einen Fehler. Dies ist zwar ärgerlich, aber auch weit verbreitet und normalerweise nicht kritisch. Wir alle haben entsprechende Meldungen schon einmal gesehen, wenn begehrte Tickets in den Verkauf gingen oder besonders attraktive Schnäppchen winkten. Auch DoS-Angriffe, mit denen Kriminelle Webangebote lahmlegen, zielen meist auf eine Überlastung der Datenbank.

Debug-Modus offenbart Datenbankzugang
Die bayrische Landtagswahl am 14. Oktober 2018 brachte den Freien Wählern Bayern einen Stimmanteil von 11,6 Prozent und machte sie zur drittstärksten Kraft im Freistaat. Es folgte ein massiver Ansturm auf den Webauftritt der Freien Wähler, welcher - erwartungsgemäß - die MySQL-Datenbank in die Knie zwang. Die mit PHP programmierten Scripte von TYPO3 bekamen keine Daten mehr geliefert und meldeten ein Problem, doch dummerweise war der Debug-Modus des Content-Management-Systems aktiviert und lieferte sehr umfangreiche Informationen, darunter der Name der Datenbank inklusive Benutzerkennung und Passwort. Mit diesen Daten ist es ein Leichtes, die Datenbank zu übernehmen und sich von dort Zugriff auf TYPO3 zu verschaffen.

Veraltete Version von TYPO3 installiert
Bernhard Geyer hatte diesen peinlichen Fauxpas als Screenshot festgehalten und auf Twitter veröffentlicht. Das Bildschirmfoto offenbart auch, dass für die Webseite der Freien Wähler Bayern TYPO3 8.7.13 genutzt wurde. Die Version 8.7.13 wurde am 17. April 2018 veröffentlicht, doch aktuell ist die Version 8.7.19 vom 21. August. Dazwischen sind weitere Updates am 22. und 23. Mai, am 12. Juni und am 31. Juli erschienen. Zumindest das Juli-Update mit der Versionsnummer 8.7.17 hätten die Verantwortlichen installieren müssen, da dieses vier Sicherheitslücken schließt. Abhängig von der jeweiligen Konfiguration können zwei dieser Lücken eine hohe bzw. kritische Gefahr darstellen, zwei weitere Fehler sind für alle Installationen hochgefährlich.

Probleme auch bei der CSU
Der designierte Koalitionspartner CSU hat ebenfalls mit digitalen Nachwehen der Landtagswahl zu kämpfen: Der CSU-Fanshop, über den Parteimitglieder auch Werbemittel bestellen können, wurde gehackt und ist nach wie vor offline. Angreifer hatten die veraltete Shop-Software Magento mit Schad-Software infiziert und die Kundendaten während des Bestellvorgangs abgegriffen. Dieser Datendiebstahl wird seitens der CSU aber noch nicht kommuniziert: Auf der CSU-Webseite fanden wir keinerlei Hinweis auf den Vorfall und der CSU-Shop meldet lediglich: "The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later." Übersetzt für Anglophobe bedeutet dies: "Der Server ist aufgrund von Wartungsarbeiten und Kapazitätsproblemen vorübergehend nicht in der Lage, ihre Anfrage zu bearbeiten. Bitte versuchen sie es später noch einmal."

Kommunikationsdefizite
Auch in dieser Hinsicht erreichen die Freien Wähler Bayern bereits den CSU-Standard: Obwohl jeder Depp die Zugangsdaten zum Datenbankserver sehen und damit die Datenbank kopieren konnte, fehlt auf der Webseite der Partei jegliche Warnung oder Stellungnahme. Auch auf Facebook schweigen die Freien Wähler über den Vorfall. Für eine Partei, die "ein hohes Datenschutzniveau" fordert und die sich engagiert gegen Cyberangriffe rüsten will, ist das stark verbesserungswürdig!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]