Bundesfinanzagentur: CCC deckt Sicherheitsleck auf
Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage, teilte die Organisation mit.
Auf den Webseiten der Bundesfinanzagentur konnte demnach jahrelang jeder Internetnutzer mit seinem Webbrowser eigene Angebote für Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert wurden, ist bisher nicht bekannt.
Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale Dienstleister für die Kreditaufnahme des Bundes durch Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen Bundesbank aus.
Das integrierte Online-Banking der Bundesfinanzagentur wies den Angaben zufolge schwere Sicherheitsmängel auf. Ein Angreifer konnte wegen der fehlerhaften Konfiguration des Webservers bestimmen, was bei einem Klick eines Kunden auf "Internet Banking" geschieht und so Phishing-Attacken einleiten.
Dadurch können Daten wie Benutzernamen, Passwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und missbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit herauszufinden, dass seine Daten verdeckt mitgelesen werden. Da der Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle Phishing-Warnungen des Webbrowser inaktiv.
"Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling. Auch Prüfungen externer Experten und von Spezialisten des Bundesamt für Sicherheit in der Informationstechnik (BSI) brachten die Fehler nicht ans Licht. Die Bundesfinanzagentur hat die Webseite nach dem Hinweis des CCC offline genommen.
Quelle: winfuture
Der Chaos Computer Club (CCC) hat nach einem anonymen Hinweis die Webserver der Bundesfinanzagentur überprüft. Dabei traten gravierende Sicherheitslücken zutage, teilte die Organisation mit.
Auf den Webseiten der Bundesfinanzagentur konnte demnach jahrelang jeder Internetnutzer mit seinem Webbrowser eigene Angebote für Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert wurden, ist bisher nicht bekannt.
Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale Dienstleister für die Kreditaufnahme des Bundes durch Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen Bundesbank aus.
Das integrierte Online-Banking der Bundesfinanzagentur wies den Angaben zufolge schwere Sicherheitsmängel auf. Ein Angreifer konnte wegen der fehlerhaften Konfiguration des Webservers bestimmen, was bei einem Klick eines Kunden auf "Internet Banking" geschieht und so Phishing-Attacken einleiten.
Dadurch können Daten wie Benutzernamen, Passwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und missbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit herauszufinden, dass seine Daten verdeckt mitgelesen werden. Da der Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle Phishing-Warnungen des Webbrowser inaktiv.
"Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling. Auch Prüfungen externer Experten und von Spezialisten des Bundesamt für Sicherheit in der Informationstechnik (BSI) brachten die Fehler nicht ans Licht. Die Bundesfinanzagentur hat die Webseite nach dem Hinweis des CCC offline genommen.
Quelle: winfuture
