Zahlreiche CDU-Domains von Sicherheitslücke betroffen
Artikelstatus: Fertig 11:20, 8. Jul. 2006 (CEST) Bitte keine weiteren inhaltlichen Veränderungen vornehmen, sondern einen Folgeartikel schreiben. |
Fulda (Deutschland), 07.07.2006 – Aufgrund fehlender Sicherheitsmaßnahmen waren bis vor kurzem mehr als 70 Webseiten der CDU gegenüber willkürlichen Veränderungen ungeschützt.
Der Webserver des externen Dienstleisters bot keinen Verzeichnisschutz, so dass die Namen aller Skripte aufgelistet wurden. Ein ASP-Skript erlaubte es, die Kundendatenbank direkt mit SQL-Befehlen auszulesen, die Passwörter der Kunden für das Content Management System wurden im Klartext ausgegeben. Für diese Abfragen war kein Passwort erforderlich.
Mit einer Bilderstrecke wurde dieses Prinzip am Beispiel des CDU Stadtverbandes Fulda auf einem Weblog demonstriert.
Wie lange die Sicherheitslücke bereits bestand, ist nicht bekannt. Die Suche nach dem technischen Ansprechpartner gestaltete sich aufgrund eines fehlenden Impressums und eines nicht funktionierenden Kontaktformulars langwierig.
Quellen
- BeautiFULDA-Weblog: „Tag der offenen Tür bei CDU-Webpräsenzen – Teil II“ (07.07.2006)
- Linkszeitung: „Dilettantische Webprogrammierung bei Christdemokraten“ (04.07.2006)