In seinem Blog hat der IT Security Consultant David Vieira-Kurz eine Sicherheitslücke auf einem Webserver der Schufa gemeldet. Durch eine Manipulation des Download-Links war es im Download-Bereich von www.meineschufa.de möglich, auf nicht zum Download vorgesehene Dateien zuzugreifen. Weil man durch solch eine File-Inclusion-Lücke im Prinzip auf beliebige Dateien des Webservers Zugriff erhält, insbesondere auf die Quelltexte der in PHP geschriebenen Webanwendung, die in der Regel wertvolle Hinweise enthalten, um einem Hacker das weitere Vorgehen zu erleichtern, ist das eine ernste Sach.

Die Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) liefert kreditrelevante Informationen über Personen. Über den betroffenen Webserver meineschufa.de können Bürger die über sie gespeicherten Daten abrufen. Dem Nachrichtendienst golem.de sagte ein Sprecher der Schufa, dass es durch diese Sicherheitslücke zu keinem Zeitpunkt möglich war, Zugang zu personenbezogenen Daten zu erhalten.

Die Lücke scheint mittlerweile geschlossen zu sein; jedenfalls liefern die Download-Links im Formularbereich keine Formulare mehr aus.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE