Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Der Discounter Penny-Markt ist für preiswerte Waren bekannt. Nicht aber dafür, Daten kostenlos frei Haus zu liefern. So oder so ähnlich kam es aber den Machern des Blogs Hackerinfo vor. Der betroffene Server ist nämlich so offen wie ein Scheunentor.
Einer der Autoren des Blogs, der sich primär mit dem Thema Datenschutz beschäftigt, war per Zufall auf einen der Hauptserver der Discountkette PENNY-Markt GmbH gestoßen. Er konnte auf diesen ohne jede Passworteingabe oder sonstige Überprüfung zugreifen. Auf dem Server befinden sich umfangreiche Aufzeichnungen der innerbetrieblichen Geschäftsabläufe der Kette. Ferner die Angaben über Namen, Positionen und E-Mail-Adressen der Mitarbeiterinnen und Mitarbeiter des Unternehmens. Im Blog heißt es: „Vom Einkauf und Disposition der Ware, bis hin zur Lagerwirtschaft und der Auszeichnung der Ware im Laden sind zahlreiche Word- und Excel-Dateien vorhanden.
Parallel (das Fatale daran) befindet sich auch die technische Dokumentation der Systemlandschaft auf dem betroffenen Server. Also, welche Abteilungen Berechtigungen haben, auf diverse Fachbereiche und Ordner zuzugreifen etc. Die IP-Adressen der weiteren Server im Netzwerk und die der Arbeitsplatzrechner, der Waagen und sonstigen technischen Gerätschaften, die zur Ausstattung des Marktes gehören, finden sich dort ebenfalls wieder. So auch die Planung und Einführung der Waagen und der Kassensysteme und deren Verbindung zum Server. Bankverbindungsdaten, Ein- u. Verkaufslisten befinden sich im selben Ordner, wie die Vollversion von Office 2007 inklusive der Freischaltschlüssel für die Corporate Edition.“
Daten, für die sich manche Ämter oder die Konkurrenz sicherlich interessieren würden. Und dennoch. Es handelt sich dabei keinesfalls um einen Hack. Wer seine ftp-Server ohne Abfrage eines Usernamens und Passworts öffentlich gestaltet, der muss sich auch nicht wundern, wenn früher oder später ein Unbefugter Zugriff auf die höchst privaten Daten nimmt. Die Screenshots im Blogpost beweisen, dass es sich hierbei um keinen Fake handelt. Sollte das Management des betroffenen Unternehmens Interesse an einer gemeinsamen Lösung des Problems ihrer IT-Security haben. Die Betreiber sind jederzeit per E-Mail, Twitter oder Jabber erreichbar und helfen gerne. Früher haben sie die Administratoren der betoffenen Seiten selbst informiert. Oftmals kam nicht mal eine Antwort zurück, geschweige denn ein Wort des Dankes. Entweder man entfernte die Sicherheitslücken in aller Stille oder diese blieben noch über Wochen bestehen.
Sonderangebot
Bleibt abzuwarten, ob derartige Veröffentlichungen auf Dauer die Sensibilität der Firmen verändern können. Das jeweils betroffene Unternehmen dürfte zwar ihre Sicherheitspolitik umstellen. Unzählige andere Firmen laden die Surfer aller Welt aber noch immer zu einem ausführlichen virtuellen Spaziergang auf ihren Datenträgern ein und wundern sich, sollten einzelne Daten verloren gehen.
Ob Lebensmittel vom Laden um die Ecke oder Dienstleistungen von IT-Unternehmen: alles hat seinen Preis. Billig ist eben doch nicht immer mit dem Begriff gut gleichzusetzen.
Update:
Der Betreiber von Hackerinfo hat heute eine E-Mail vom Leiter der Informationssicherheit der REWE-Group bekommen, die den mangelnden Datenschutz des Unternehmens erklären könnte. Nachprüfbar ist die Aussage für uns leider nicht.
„Die Maschine gehört (mit sehr großer Wahrscheinlichkeit) einem ehemaligen Mitarbeiter von Penny Bulgarien. Die auf diesem abgelegten Daten der REWE Gruppe, die er offensichtlich unerlaubt kopiert hatte, besitzen glücklicherweise keine Relevanz mehr für unser Unternehmen. Sie sind zum Teil sehr alt (Schaltpläne, Schulungsunterlagen) oder quasi öffentlich (Vorlagen).
Nichtsdestotrotz ist die Angelegenheit ärgerlich, da durch diese Art von „Datendiebstahl“ immer wieder Unternehmen in den öffentlichen Fokus geraten. Wie bereits im ersten Schreiben erwähnt, wären wir Ihnen sehr dankbar gewesen, wenn Sie uns direkt informiert hätten. Eine Veröffentlichung im Blog hätte auch noch danach erfolgen können.
Da ein international agierendes Unternehmen wie die REWE Gruppe natürlich nie ausschließen kann, dass sich ähnliche Vorfälle an anderer Stelle wiederholen bzw. wiederholt haben, aber bisher nicht entdeckt worden waren, bleiben wir Ihnen natürlich dankbar für jede Art der entsprechenden Aufmerksamkeit und bitten nachdrücklich, in solchem Fall doch direkt und unverzüglich, gern auch telefonisch, Kontakt zu uns aufzunehmen.
Freundlichen Gruß / Kind regards
XXX
Leiter Informationssicherheit
REWE GROUP
REWE-Informations-Systeme GmbH“
Lars Sobiraj am Freitag, 23.07.2010 12:30 Uhr
Tags:
hackerinfo
Stimmt. Man denke dabei an den Gründer von McFit. :rolleyes: Der hat sich ja auch offenbar eine Krawatte umgebunden und eine seiner Großveranstaltungen (womöglich) auf immer und ewig gecancelt, um einem evtl. Rücktritt zu entgehen. Hm, und was hat das jetzt mit u ...
Stimmt. Man denke dabei an den Gründer von McFit. :rolleyes: Der hat sich ja auch offenbar eine Krawatte umgebunden und eine seiner Großveranstaltungen (womöglich) auf immer und ewig gecancelt, um einem evtl. Rücktritt zu entgehen. ...
So dumm kann doch keiner sein. Es braucht keine IT Ausbildung oder ein Studium um zu wissen das man keinen FTP ohne Login / PW betreibt :confused: Eine IT-Ausbildung braucht man dafür sicher nicht, in manchen Unternehmen reicht schon ein Direktoren-Titel und eine fe ...
@c64er ... Jouh, das mit die Inder kenne ich auch ... und die Chinesen ... in der einen Bude werden die in Projekten eingesetzt, die sie mit 4000h in den Sand setzen ... in dieser Bude ist das kein schlechter Scherz, sondern eine Realityshow! ... so werden Gelder verbrannt! ...
Naja, das Gegenteil muss man ihnen jetzt ersmtal beweisen. Das Mitarbeiter Daten stehlen kann man keinem Unternehmen wirklich vorwerfen. Das kann jedem Admin passieren. Ich will jetzt auch nichts davon hören von wegen, dass man da halt die USB-Buchsen verkleben muss, den E-Mailverkehr überwachen m ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
