Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36244
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von doelf »

"Digitalisierung ist unsere Zukunft" schreiben die Freien Wähler Bayern auf ihrer Webseite. Weiter heißt es: "Gegen Cyberangriffe müssen wir uns engagiert rüsten und ein hohes Datenschutzniveau für Sie als Bürger sicherstellen". Doch für den eigenen Webauftritt gelten diese Forderungen anscheinend nicht.

Die Webseite der Freien Wähler Bayern basiert auf dem Content-Management-System TYPO3, welches seine Inhalte in einer MySQL-Datenbank speichert. Dies ist ein gängiges Konstrukt und es kann, wie immer wenn eine Datenbank direkt ohne zusätzliche Cache-Ebenen eingebunden ist, zu einer Überlastung kommen. Konfrontiert mit zu vielen Anfragen wirft die MySQL-Datenbank das Handtuch und die auf diese zugreifenden Scripte melden einen Fehler. Dies ist zwar ärgerlich, aber auch weit verbreitet und normalerweise nicht kritisch. Wir alle haben entsprechende Meldungen schon einmal gesehen, wenn begehrte Tickets in den Verkauf gingen oder besonders attraktive Schnäppchen winkten. Auch DoS-Angriffe, mit denen Kriminelle Webangebote lahmlegen, zielen meist auf eine Überlastung der Datenbank.

Debug-Modus offenbart Datenbankzugang
Die bayrische Landtagswahl am 14. Oktober 2018 brachte den Freien Wählern Bayern einen Stimmanteil von 11,6 Prozent und machte sie zur drittstärksten Kraft im Freistaat. Es folgte ein massiver Ansturm auf den Webauftritt der Freien Wähler, welcher - erwartungsgemäß - die MySQL-Datenbank in die Knie zwang. Die mit PHP programmierten Scripte von TYPO3 bekamen keine Daten mehr geliefert und meldeten ein Problem, doch dummerweise war der Debug-Modus des Content-Management-Systems aktiviert und lieferte sehr umfangreiche Informationen, darunter der Name der Datenbank inklusive Benutzerkennung und Passwort. Mit diesen Daten ist es ein Leichtes, die Datenbank zu übernehmen und sich von dort Zugriff auf TYPO3 zu verschaffen.

Veraltete Version von TYPO3 installiert
Bernhard Geyer hatte diesen peinlichen Fauxpas als Screenshot festgehalten und auf Twitter veröffentlicht. Das Bildschirmfoto offenbart auch, dass für die Webseite der Freien Wähler Bayern TYPO3 8.7.13 genutzt wurde. Die Version 8.7.13 wurde am 17. April 2018 veröffentlicht, doch aktuell ist die Version 8.7.19 vom 21. August. Dazwischen sind weitere Updates am 22. und 23. Mai, am 12. Juni und am 31. Juli erschienen. Zumindest das Juli-Update mit der Versionsnummer 8.7.17 hätten die Verantwortlichen installieren müssen, da dieses vier Sicherheitslücken schließt. Abhängig von der jeweiligen Konfiguration können zwei dieser Lücken eine hohe bzw. kritische Gefahr darstellen, zwei weitere Fehler sind für alle Installationen hochgefährlich.

Probleme auch bei der CSU
Der designierte Koalitionspartner CSU hat ebenfalls mit digitalen Nachwehen der Landtagswahl zu kämpfen: Der CSU-Fanshop, über den Parteimitglieder auch Werbemittel bestellen können, wurde gehackt und ist nach wie vor offline. Angreifer hatten die veraltete Shop-Software Magento mit Schad-Software infiziert und die Kundendaten während des Bestellvorgangs abgegriffen. Dieser Datendiebstahl wird seitens der CSU aber noch nicht kommuniziert: Auf der CSU-Webseite fanden wir keinerlei Hinweis auf den Vorfall und der CSU-Shop meldet lediglich: "The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later." Übersetzt für Anglophobe bedeutet dies: "Der Server ist aufgrund von Wartungsarbeiten und Kapazitätsproblemen vorübergehend nicht in der Lage, ihre Anfrage zu bearbeiten. Bitte versuchen sie es später noch einmal."

Kommunikationsdefizite
Auch in dieser Hinsicht erreichen die Freien Wähler Bayern bereits den CSU-Standard: Obwohl jeder Depp die Zugangsdaten zum Datenbankserver sehen und damit die Datenbank kopieren konnte, fehlt auf der Webseite der Partei jegliche Warnung oder Stellungnahme. Auch auf Facebook schweigen die Freien Wähler über den Vorfall. Für eine Partei, die "ein hohes Datenschutzniveau" fordert und die sich engagiert gegen Cyberangriffe rüsten will, ist das stark verbesserungswürdig!
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Ding Junhui
DAU
DAU
Beiträge: 2
Registriert: 30 Jun 2020, 14:42

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von Ding Junhui »

update the magento version to 2 and then try again.
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36244
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von doelf »

I guess (hope) they have updated their outdated installation by now ;-)
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1248
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von Mausolos »

doelf hat geschrieben: 17 Okt 2018, 12:41»Freie Wähler präsentieren das Passwort ihrer Datenbank«

Probleme auch bei der CSU
Geil! :D
Linux :)
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36244
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von doelf »

Was mich damals am meisten überrascht hatte: Es gibt einen CSU-Fan-Shop!
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1248
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von Mausolos »

Für CSU-Mützen, CSU-Schals, CSU-Aufnäher, CSU-Kaffeetassen, CSU-Kühlschrankmagnete? :lol:
Linux :)
Benutzeravatar
neO
Halbgott der Platine
Halbgott der Platine
Beiträge: 3688
Registriert: 23 Feb 2005, 10:59

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von neO »

Haben die auch Kreuze?
Hic et nunc et in aeternum:
This world is one!
see you in the world of tomorrow
Benutzeravatar
neO
Halbgott der Platine
Halbgott der Platine
Beiträge: 3688
Registriert: 23 Feb 2005, 10:59

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von neO »

Hmm, nee.

Aber ein Apfel Notizbuch...
(Auf Englisch wäre das ein apple notebook ....)
https://www.csu-fanshop.de/csu-apfel-notizbuch.htm
Hic et nunc et in aeternum:
This world is one!
see you in the world of tomorrow
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36244
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von doelf »

neO hat geschrieben: 01 Jul 2020, 23:17 Hmm, nee.

Aber ein Apfel Notizbuch...
(Auf Englisch wäre das ein apple notebook ....)
https://www.csu-fanshop.de/csu-apfel-notizbuch.htm
Da wird die zukünftige Zusammenarbeit mit den Grünen vorbereitet :lol:
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1248
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Bayern: Freie Wähler präsentieren das Passwort ihrer Datenbank

Beitrag von Mausolos »

Zu diesem Zweck kann man sich jetzt schon den »CSU-Obst- und Gemüsebeutel« kaufen. :wink:
Linux :)
Antworten