AnonPressAUT

Anonymous Austria: Österreichs Websites auf dem Prüfstand

May 30th, 2012
1,383
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Anonymous Austria: Österreichs Websites auf dem Prüfstand
  2. Datenschutz-Super-GAU bei Immobilienverwalter
  3.  
  4. Von September 2011 bis zuletzt grasten Anonymous-Aktivisten rund 5.000 österreichische Websites sowie Homepages mit starkem Österreich-Bezug ab und überprüften diese auf fundamentale Sicherheitsmechanismen. Ziel der Aktion war es, Sicherheitslücken zu identifizieren und die jeweiligen Betreiber darüber zu informieren, um den Schutz der Bürger, die mit diesen Online-Angeboten zu tun haben, zu erhöhen. Dabei hat sich gezeigt, dass rund 10% aller geprüften Online-Präsenzen eklatante Mängel aufweisen, denn eine Absicherung sensibler Daten erfolgte bei diesen gut 500 Homepages überhaupt nicht (die Zahl mangelhafter Websites ist bei Weitem höher, jedoch konnten dabei nur unwesentliche Daten entdeckt werden). Kurioserweise handelte es sich dabei nicht nur um die Webauftritte von Privatpersonen oder Vereinen, selbst namhafte Unternehmen, Organisationen und Behörden behandeln die Themen "Datenschutz" und "IT-Sicherheit" stiefmütterlich: Über einfache Suchabfragen konnten die Website-Administrationsverzeichnisse folgender Firmen und (behördlicher) Vereinigungen entdeckt und OHNE den Einsatz von "Hacking-Tools" durchsucht werden (Auszug):
  5.  
  6. - Österreichische Hochschülerschaft
  7. - Rudolfinerhaus Privatklinik
  8. - KPÖ
  9. - Österreichische Fachhochschulkonferenz
  10. - Aufhof Center
  11. - diverse WKO Fachgruppen
  12. - Wiener Stadtwerke
  13. - Türkische Botschaft in Wien
  14. - Costa Kreuzfahrten
  15. - Fachhochschule Salzburg
  16. - Niederösterreichische Landesregierung
  17. - Stadt Amstetten
  18.  
  19. Gefunden wurden vielfältige Materialien und Interna: Bei Wiener Zucker lag beispielsweise ein unverschlüsseltes und nicht-passwortgesichertes Website-Backup schutzlos auf dem Webserver und ein Zugriffslog lag ungeschützt im Administrations-Verzeichnis der Website amstetten.gv.at. Ein 3,6 Gigabyte großer Zugriffslog, der 18 Millionen Zugriffe seit 2007 detailliert protokollierte, konnte zudem auf dem Webspace der Österreichischen Hochschülerschaft ausfindig gemacht werden, ebenso ein 1,4 Gigabyte großer Log auf der Homepage des Roten Kreuz Innsbruck. Ein Vermögensberater stellte, ebenfalls ohne jegliche Schutzmaßnahmen, eine Provisionsabrechnung von Fond-Produkten auf dessen Webserver. Die Liste beinhaltete Bonus-Vergütungen, die namentlich erwähnte Berater für den Verkauf von Fond-Paketen erhielten - die Namen der Käufer waren ebenso vermerkt.
  20.  
  21. Den Super-GAU an fahrlässiger Datenspeicherung leistete sich jedoch ein Immobilienverwalter: Dieser betreibt ein Verwaltungsportal für Wohnobjekte, welches zum Zeitpunkt der Aktion gänzlich ungeschützt war. Zwar hält sich die Anzahl der gefundenen Dokumente in Grenzen, brisant ist allerdings, dass jedes davon einem bestimmten Mieter zuordenbar ist und Kriminelle nicht nur eine Möglichkeit auf dem Silbertablett serviert bekommen hätten, um gewaltfrei in die Wohnungen der betroffenen Mieter einzudringen. Neben 650 Scans von Mietverträgen wurden rund 7.500 eingescannte Belege, 350 Scans von Kautionseinzahlungsbestätigungen, Steuererklärungen, Mietzinsabrechnungen, Flächenwidmungspläne, Grundbuchsauszüge, Pläne für Geschoße und Wohnungen, Scans von Kautionssparbüchern, Dienstverträge von Hausbesorgern, Versicherungsgutachten, Prüfberichte von Aufzügen, Schlüssellisten (mit Seriennummern !!!), Kaufverträge und rund 60 Scans von Versicherungspolizzen gefunden. Dieser schwerwiegende Fall von Datenschutzverletzung wurde von den Aktivisten nicht direkt an den Website-Betreiber gemeldet. Auf Anraten eines Rechtsanwalts mit Schwerpunkt "Datenschutz" wurde der Fall Ende 2011 der Datenschutzkommission gemeldet. Ein offizielles Statement der DSK, das Aufschluss über das Strafausmaß, sofern es überhaupt zu einem solchen gekommen ist, wurde versprochen, liegt aber bis dato noch nicht vor.
  22.  
  23. Überprüft wurden im Rahmen der Aktion nicht nur via Suchabfragen zu findende ungeschützte Verzeichnisse, sondern auch die Verwundbarkeit von Datenbanken. Über kritische Lücken wurden beispielsweise der Österreichische Rechtsanwaltskammertag und die Neue Kärntner Tageszeitung informiert.
  24.  
  25. Dass die Aktion im Großen und Ganzen zufriedenstellend verlief, zeigten Rückmeldungen einiger Administratoren, die sich für den Hinweis auf Systemlücken bedankten und die Fehler auch schnell behoben.
  26.  
  27. Eine Trivia-Auflistung, sowie eine Auswahl an anonymisierten Datensätzen gibt es auf http://anonnewsaut.tumblr.com zu finden.
RAW Paste Data