Stoppt den Überwachungsstaat! Jetzt klicken & handeln Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

27 August 2010

Tobias Huch vs Schlecker "Tag der offenen Tür"

Tobias Huch sagte Golem.de, die Sicherheitslücke habe an einer Shell-Datei gelegen, die ungeschützt im Root-Verzeichnis des Webservers abgelegt war. Der Name der Datei war leicht zu erraten. Das Skript loggte den Benutzer dann in die Datenbank von Schlecker ein. Huch vermutet, dass es sich bei dem Skript um eine absichtlich angebrachte Hintertür zur Wartung handelte.

Den Namen des Providers, der seine Server so unzureichend gesichert hatte, wollte Tobias Huch nicht nennen. Ebenso sei nicht gewiss, wie lange die Lücke schon bestanden habe. Die von Huch eingesehenen und zum Teil lokal gespeicherten Daten sind laut Darstellung des Unternehmers noch vor Erscheinen des Bild-Berichtes unter Aufsicht des Datenschutzbeauftragen von Rheinland-Pfalz vernichtet worden.

Schlecker äußerte gegenüber Golem.de: "Das Datenleck wurde sofort entdeckt und umgehend geschlossen". Zudem sei es, wie Tobias Huch erklärte hatte, nicht auf den Servern von Schlecker, sondern bei einem externen Dienstleister aufgetreten.

Dort vermutet die Drogeriekette aber eine ganz andere undichte Stelle: "Der illegale Zugriff war offenbar nach einem internen Angriff möglich", meint Schlecker. Deshalb habe das Unternehmen bereits Anzeige gegen unbekannt erstattet. Die Daten seien zudem nicht öffentlich einsehbar gewesen, sondern "nur durch technisch versierte Personen mit genauer Kenntnis der Quelle." Es habe deshalb nur wenige unbefugte Zugriffe auf die Daten gegeben.

Huch sagte, er habe das Leck «durch Zufall» entdeckt. Da sein Unternehmen auch Kunden zu IT-Sicherheit berate, forschten er und seine Mitarbeiter auch regelmäßig nach Sicherheitslücken auf Websites.

Shellskript und Webserver?
Datum: 27.08.10 - 15:50
Autor: xc0n42
a) war es ein PHP/ASP/wasauchimmer Skript ala phpmyadmin?
b) war es ein Shell-Skript, das als CGI ausgeführt wurde und einen DB Dump präsentierte?
c) war ein ein echter Shell-Zugriff möglich und das Skript konnte auch einer Konsole ausgeführt werden?

Ungeklärte Fragen!

Fakt ist, die Infos wurden T. Huch mit Sicherheit zur Verfügung gestellt.