Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware

  • gulli
  • Nachrichten
  • Datenpanne bei der SPD Sachsen: benutzerbezogene Daten offenbart (Update)
Bradley Manning: Marine-Minister lehnt Beschwerde
Filesharing: Drohende Haftstrafe für 16-Jährigen wegen

Datenpanne bei der SPD Sachsen: benutzerbezogene Daten offenbart (Update)

SPD Sachsen

SPD Sachsen

Der Datenschützer David Viera-Kurz entdeckte kürzlich eine kritische Schwachstelle auf mehreren Webseite der sächsischen SPD. Wer sich in den letzten Jahren dort bewegt hat, dessen Daten können zusätzlich zu zahlreichen anderen Informationen problemlos ausgelesen werden. Die Technik der SPD Sachsen wurde im Vorfeld über diese Lücke informiert. Update:Mittlerweile liegt uns eine erste Reaktion vor.

27. Juni 2011: Auf den Webseiten der SPD Sachsen, welche unter den Domains http://www.spd-sachen.de, http://spdsachsen.de und http://spd-fraktion-sachsen.de zu erreichen sind, wurde kürzlich eine kritische Schwachstelle entdeckt. Zum Auslesen der Daten muss lediglich eine bestimmte URL angesurft werden. Dort existieren keinerlei implementierten Schutzmaßnahmen, wie etwa eine Passwortabfrage oder etwas Ähnliches. Brisant ist unter anderem, dass die IP-Adressen vollständig und unzensiert gespeichert werden und die Datensätze von heute bis zurück in Mitte 2009 reichen. Hinzu kommen nebst der IP-Adresse noch folgende Daten, die ebenfalls nachweislich protokolliert und gespeichert werden:

- Timestamp mit Datum und Zeit
- Benutzer ( Nickname und vollständiger Name )
- User Agent
- Referer
- besuchte URL
- ob der Besucher von einer Werbekampagne stammt (Werbebanner).

Der Proof of Concept kann vom Blog des Autors entnommen werden. Die Parteiführung der SPD wurde bereits über diese Lücke in Kenntnis gesetzt. Wie schnell auch immer die Techniker die Schwachstelle beheben können, aus Sicht des Berliner IT-Experten David Viera-Kurz ist dieser Umgang der Partei mit den Besucherinformationen ein echter Datenschutz-Skandal.

Update (vom 28. Juni 2011):

Die Betreiber der Webseiten haben sich nun beim Berliner Datenschützer gemeldet. Man habe zwischenzeitlich intensiv daran gearbeitet, das Problem zu lokalisieren. Die ausgelesenen Daten gehörten zum Ad-Modul von Drupal, dem verwendeten Content Management System der Webseiten. Das Mitloggen des Moduls wurde eingestellt und alle bestehenden Logfiles gelöscht. Die betroffenen Seiten wurden für Suchmaschinen gesperrt, so dass sie in Kürze durch Neuindexierung nicht mehr gelistet werden.

Der Autor der Mitteilung brauchte auch zum Ausdruck, dass man zu keinem Zeitpunkt die Absicht hatte, Daten von Nutzern des Internetangebotes zu erheben oder gar zu veröffentlichen. Leider sind auch viele andere Seiten, die auf Drupal aufsetzen, vom gleichen Problem betroffen.

Lars Sobiraj am Montag, 27.06.2011 10:13 Uhr

tagsTags: spd david vieira-kurz

Bookmark and Share
Auf Facebook teilen
vgwort
 
Weitere interessante News
10 Reaktionen zu dieser Nachricht
  • Hoshpak am 28.06.2011 12:41:37

    Es ist durchaus möglich, Drupal datenschutzgerecht zu betreiben, wenn man sich mal ein bisschen damit beschäftigt. Aber wie ich die SPD kenne, sind sowohl Gestaltung als auch Betrieb outgesourct. Dass das dann auch noch durch Inkompetenz oder Programmierfehler öffentlich verfügbar gemacht wird, ...

  • DerAlteL am 28.06.2011 12:07:36

    Wie gesagt: Die SPD soll schuld sein obwohl Drupal bzw. das Modul schuld hat. Unsinnig es so hinzustellen, denn wie du bereits schreibst: Es trifft auch andere Seiten. ...

  • Ghandy am 28.06.2011 09:23:10

    Update des Artikels ist raus. Es soll wohl primär an Drupal und den Einstellungen dieses CMS gelegen haben. Jetzt ist die Lücke wieder dicht. ...

  • Caarcrinolas am 27.06.2011 15:34:15

    Skandal: Wieso darf die SPD bei all ihrer Medienkompetenz überhaupt eine Domain und Webspace besitzen? Man drückt doch kleinen Kindern auch keine geladene und ungesicherte Knarre in die Hände? Man weiß doch wie das ausgeht, tztztz ...

  • RightRound am 27.06.2011 14:40:02

    Dass Daten gespeichert werden, ist wohl bei 99% aller Seiten im Internet so. Ich habe es darauf abgezielt, dass die Daten an sich im Klartext vorliegen, was das wohl wichtigste Merkmal der VDS ist. Die SPD pocht auf die VDS. Das passt hier zusammen. ;) ...

weitere Kommentare lesen     Nachricht kommentieren

 
News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

befreit: ipad 3 & iphone 4s

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...

Browsergames
Gondal World

TOPTIPP: Gondal World

Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! Escaria spielen

Escaria

Escaria

Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! Escaria spielen

Artyria

Artyria

Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. Artyria spielen

Gondal

Gondal

Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. Gondal spielen

Last Emperor

Last Emperor

Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. Last Emperor spielen

Nightcreeps

Nightcreeps

Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. Nightcreeps spielen

gulli:picsArtikel empfehlengulli RSS News Feedsgulli RSS NewsPresso Feedsgulli:Newslettergulli twittertgulli bei facebookgulli:news im AppStoreSeitenanfang

© 1998-2012 InQnet GmbH

Hardwareclips