Tobias Huch vs Schlecker "Tag der offenen Tür"
Den Namen des Providers, der seine Server so unzureichend gesichert hatte, wollte Tobias Huch nicht nennen. Ebenso sei nicht gewiss, wie lange die Lücke schon bestanden habe. Die von Huch eingesehenen und zum Teil lokal gespeicherten Daten sind laut Darstellung des Unternehmers noch vor Erscheinen des Bild-Berichtes unter Aufsicht des Datenschutzbeauftragen von Rheinland-Pfalz vernichtet worden.
Schlecker äußerte gegenüber Golem.de: "Das Datenleck wurde sofort entdeckt und umgehend geschlossen". Zudem sei es, wie Tobias Huch erklärte hatte, nicht auf den Servern von Schlecker, sondern bei einem externen Dienstleister aufgetreten.
Dort vermutet die Drogeriekette aber eine ganz andere undichte Stelle: "Der illegale Zugriff war offenbar nach einem internen Angriff möglich", meint Schlecker. Deshalb habe das Unternehmen bereits Anzeige gegen unbekannt erstattet. Die Daten seien zudem nicht öffentlich einsehbar gewesen, sondern "nur durch technisch versierte Personen mit genauer Kenntnis der Quelle." Es habe deshalb nur wenige unbefugte Zugriffe auf die Daten gegeben.
Huch sagte, er habe das Leck «durch Zufall» entdeckt. Da sein Unternehmen auch Kunden zu IT-Sicherheit berate, forschten er und seine Mitarbeiter auch regelmäßig nach Sicherheitslücken auf Websites.
Shellskript und Webserver?
Datum: 27.08.10 - 15:50
Autor: xc0n42
a) war es ein PHP/ASP/wasauchimmer Skript ala phpmyadmin?
b) war es ein Shell-Skript, das als CGI ausgeführt wurde und einen DB Dump präsentierte?
c) war ein ein echter Shell-Zugriff möglich und das Skript konnte auch einer Konsole ausgeführt werden?
Ungeklärte Fragen!
Fakt ist, die Infos wurden T. Huch mit Sicherheit zur Verfügung gestellt.
0 Comments:
Kommentar veröffentlichen
<< Home