Eine zur CeBIT gelaunchte Site der Viag Interkom, Creating-Visions weist ein gravierendes Sicherheitsloch auf. Wie ZDNet von einem Leser erfuhr, ist die auf einem Internet Information Server von Microsoft (Börse Frankfurt: MSF) gehostete Site anfällig gegen einen bekannten und seit langem gepatchten Bug.
Auf der Creating-Visions-Site konnten sich Kunden von Viag für einen Termin während der CeBIT anmelden. Dazu haben sie unter anderem ihre Namen, Firmennamen, Telefonnumern und so weiter eingegeben. Die Informationen wurden auf einem SQL-Server bei der Webagentur bas gespeichert. Allerdings liegen die User ID (SA) sowie das Passwort für die Datenbank auf einer Website, deren Quellcode durch in der ASP-Programmierung gespeicherte Informationen zugänglich ist.
Mithilfe der User ID sowie des Passwortes ist es für einen Angreifer, der über die entsprechende Microsoft-Software verfügt möglich, die Datensätze aus der Datenbank der Webagentur auszulesen. Etliche hundert Kunden hatten sich für einen Gesprächstermin während der CeBIT interessiert und waren gespeichert. Ein Sprecher der Viag kündigte an, die entsprechende Site vom Netz zu nehmen. Ein Sprecher der Agentur bas konnte sich die Sicherheitslücke nur durch einen nicht aufgespielten Patch erklären.
|
Die Kundendatenbank / Screenshot: ZDNet |
Entdeckt wurde das Problem von einem Kunden der Viag Interkom, der auch zu einem Gespräch während der Messe eingeladen wurde. „Wenn ich so eine Seite zu sehen kriege, spiele ich immer erstmal ein wenig rum, um zu sehen, ob die Software auch auf dem neuesten Stand ist“, sagte er gegenüber ZDNet. „Ich war natürlich verblüfft zu sehen, dass dieser uralte Bug bei dem Server nicht gepatcht war. Ich habe dann eine Mail an die Kontakt-Adresse geschrieben, aber außer einer Lesebestätigung vom 12. März habe ich keine weitere Antwort bekommen.“
Kontakt: Viag Interkom, Tel.: 0800/1090000
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…