Das Portal umziehen.de, dass von der Deutschen Post betrieben wird, kann genutzt werden, damit Menschen nach einem Umzug ihre neue Anschrift hinterlassen können. Die Post informiert dann automatisch diverse Dienstleister wie Banken oder Versicherungen über die neue Adresse. Bei der Sicherheit des Portals konnten aufgrund eines simplen Fehlers die Adressdaten von etwa 200.000 Kunden im Internet problemlos abgerufen werden.

Dabei ließ sich die Datenbank einfach herunterladen, wenn der Dateiname "dump.sql" bekannt war. Warum dieser Dateiname verwendet wird, ist leicht zu erklären: In der Dokumentation der weit verbreiteten Datenbanksoftware MySQL wird er in einem Beispiel verwendet. Die Post hat scheinbar nach dem Beispiel der MySQL Dokumentation eine Kopie der Datenbank angelegt und offenbar versehentlich auf dem Webserver abgelegt. Dadurch konnte diese über eine Webadresse heruntergeladen werden.

Inzwischen hat die Deutsche Post damit begonnen, die betroffenen Kunden über den Vorfall zu informieren. Laut einer Mitteilung heißt es, das Unternehmen wolle "Jemandem mit entsprechender Fachkenntnis wäre es für kurze Zeit möglich gewesen, Kenntnis von Ihren Angaben (Name, alte und neue Adresse, Umzugsdatum, E-Mail-Adresse) zu erlangen. Der Fehler wurde innerhalb weniger Minuten nach Bekanntwerden behoben. Wir können nicht ausschließen, dass in dieser Zeit unbefugt Einblick in Ihre Daten genommen wurde."

(ms, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE