Im Zuge einer kurzem Untersuchung verschiedener Bankwebseiten, stießen wir auf einige Mängel bei der Sparkasse.
Heutzutage bieten fast alle Banken das sogenannte Online-Banking an, mit welchem die Kunden online den Kontostand überprüfen und Überweisungen tätigen können. Im Untergrund des Internets wird rege mit geklauten Kreditkartendaten gehandelt, weswegen beim Online-Banking Vorsicht geboten ist.
Korrektur: Die Sparkasse bietet kein Online-Banking auf sparkasse.de an. Es handelt sich nur um eine Content-Plattform für die Sparkassen. (Update: 27.09.2012, 14:50)
Diesmal lag das Problem nicht bei den Kunden, auf dessen Rechnern sich Trojaner an den Daten bedienen könnten, sondern bei dem Internetauftritt der Sparkasse selbst. Unter der Subdomain “umfrage” gab es einige Seiten, die gerne Ihren Quelltext preisgaben. So war es möglich an die Konfigurationsdateien mit diversen Einstellungen zu gelangen. Der Quelltext schien laut den darin enthaltenen Kommentaren das letzte Mal im Jahr 2009 bearbeitet worden zu sein. Wir hoffen, dass dieser nicht seit dieser letzten Bearbeitung bis zu unserer Entdeckung einsehbar war, sonst wäre es ein gefundenes Fressen für Kriminelle gewesen.
Des Weiteren fanden wir unter einer weiteren Subdomain “contentangebote” eine Seite, welche freiwillig den Inhalt sämtlicher Variablen über ein var_dump() preisgegeben hat. Man fand dort komplette Pfade zu ausgeführten Scripten, und andere interessante Informationen. Solche Fehler- bzw. Debugausgaben sollten im Produktivsystem in eine Logdatei geschrieben werden, und dem Besucher eine benutzerfreundliche Meldung ausgegeben werden.
Zuletzt fanden wir einen Parameter direkt auf der Hauptseite, über welchen sich die Ordnerstruktur des System erraten ließ. Es handelte sich um einen Pfad zu einer Template-Datei, welche über die URL eingebunden wurde. Zwar war es nicht möglich, stattdessen andere Dateien einzubinden, jedoch konnte man über relative Pfadangaben den Pfad zum Document-Root-Verzichnis herausfinden.
Nachdem wir diese Probleme festgestellt hatten, kontaktierten wir die Sparkasse am 23.09.2012 per Twitter und baten um eine Emailadresse bzw. Kontaktaufnahme per Twitter-Direktnachricht. Man entschied sich für die Direktnachrichten, über welche wir die Probleme übermittelten, in dem wir eine über .htaccess geschützte Textdatei auf unserem Webspace anlegten und die Logindaten per Twitter weitergaben. 140 Zeichen für einen ausführlichen Bericht sind kaum ausreichend.
Die Sparkasse handelte schnell. Kurz nach der Übermittlung des Berichts, wurde das Internetangebot unter der Subdomain “umfrage” vom Netz genommen. Auch die weiteren Probleme wurden spätestens zum nächsten Tag behoben. Man bedankte sich freundlich bei uns für die Hinweise.
Wir bedanken uns ebenfalls bei der Sparkasse für diesen schnellen Fix der Probleme und schließen damit diesen Fall ab.
Das Team der Internetwache.org
Screenshots