Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
ESA (Logo)
Unsere Erfahrungen haben es immer wieder gezeigt: Sicherheitslücken im Auftrag von Datenschützern an Unternehmen weiterzuleiten, ist ein stets zeitraubendes und zudem selten gewinnbringendes Unterfangen. Wir dachten uns, die europäische Weltraumorganisation könnte ein lohnendes Ziel sein, schließlich ist das Unternehmen alles andere als unbekannt. Da es auch die aufgespürten Sicherheitslücken in sich haben, entschlossen wir uns zu weitergehenden Recherchen. So versuchte die Redaktion von gulli.com bereits Mitte Februar, über die offizielle E-Mail-Adresse des esa-Portals Kontakt mit den Betreibern der Europäischen Weltraumorganisation aufzunehmen. Auch nach diversen englischsprachigen Erinnerungen, dass wir auf ihrer Webseite in mehrfacher Hinsicht fündig wurden, erfolgte keinerlei Reaktion.
Der Grund der E-Mails? gulli:board-User Boris Koch hatte uns mitgeteilt, dass er beim Google-Hacking über einen öffentlich zugänglichen FTP-Server der ESA stolperte. Mit Hilfe von modifizierten Crawlern, die ansonsten von Suchmaschinenanbietern eingesetzt werden, kann man die technische Infrastruktur eines Unternehmens auf ungesicherte NAS-Festplatten oder FTP-Server hin untersuchen. Google selbst gibt nicht selten auch die Dinge preis, die eigentlich für das interne Firmennetzwerk und nicht für die Öffentlichkeit gedacht sind. Beim sogenannten Deep Web Search hatte Koch einen Bereich der ESA ausmachen können, wo Mitarbeiter des Unternehmens ihre privaten Daten austauschen. In erster Linie handelt es sich dabei um wissenschaftliche Arbeiten, Grafiken und zahlreiche private Fotos.
Am 22. Februar kontaktierten wir den offiziellen Twitter-Account der deutschen Niederlassung. Andreas Schepers vom Communication Department der ESA bat nach unserer Kontaktaufnahme unverzüglich um einen Anruf. Beim Telefonat gaben wir ihm die Details des Fundes durch. Wenige Tage später informierte uns Heiko Frenzel von der doo!media noch über XSS-Schwachstellen auf der Webseite des Unternehmens, die mittlerweile geschlossen wurden. Nach einem Ultimatum, einigen Tagen Wartezeit und einer erneuten Rückfrage teilte uns Herr Schepers nun mit, die Fehler auf der Webseite seien jetzt behoben, der FTP-Server hingegen solle offen bleiben. Das Unternehmen bedankt sich ganz offiziell für unsere Mithilfe. Man habe aber beschlossen, diesen Ort des internen Austausches frei zugänglich zu lassen. Firmeninterna würde man dort aber nicht hinterlegen. Unsere Rückfrage mitsamt einem Hinweis darauf, dass auch weniger fachkundige Anwender diesen Server per Google Hacking ausfindig machen könnten, wurde leider nicht beantwortet.
Die Entscheidung, keinen der Besucher überprüfen zu wollen, die per FTP-Server auf die internen Daten der ESA-Mitarbeiter zugreifen wollen, erscheint schwer nachvollziehbar. Auch wenn es kein echtes Hindernis darstellen mag, den ungeschützten Bereich ausfindig zu machen: Alle Entscheidungen zum Datenschutz obliegen keinen Datenschützern, sondern alleine der Konzernleitung. Natürlich dürfen wir die Adresse des offenen Servers an dieser Stelle nicht veröffentlichen. Auch wenn die exakte Adresse unseren Artikel inhaltlich untermauern würde, käme dies einer indirekten Aufforderung gleich, den FTP-Server des Unternehmens zu eigenen Zwecken zu missbrauchen, was wir natürlich nicht wollen und selbstverständlich auch nicht dürfen.
Bild-Quellen: www.esa.int
Lars Sobiraj (g+) am Dienstag, 13.03.2012 16:42 Uhr
Für eine Organisation wie die ESA ist es doch völlig normal öffentlich zugängliche FTP Server zu haben :unknown: Kann man da etwa anonym Dateien hochladen, oder sind die Mitarbeiter sich nicht bewusst, dass er öffentlich ist, wenn sie ihre privaten Fotos dort lagern? Den Zusammenhang mit dem Begri ...
Ehrlich Ghandy, schreib doch einfach: Besetzt den Ftp, sie haben es nicht anders gewollt! ...
Die Europäische Weltraumorganisation (European Space Agency, kurz ESA) schließt nach unseren Hinweisen mehrere Sicherheitslücken auf ihrer Webseite. Der von Boris Koch entdeckte und für ESA-Mitarbeiter eröffnete FTP-Server bleibt aber weiterhin öffentlich zugänglich. Die Angabe eines Usernamens und ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Sener Dincer am 14.06.2013, 11:47 Uhr
Bezugnehmend auf die anhaltende Protestbewegung gegen Ministerpräsident Erdogan hat nun auch der StudiVZ-Gründer Ehssan Dariani seine Ansichten offenbart. Via Facebook-Mitteilung teilt er mit, dass möglicherweise die Zeit für einen bewaffneten Kampf gegen die türkische Regierung gekommen sei – und zwar „Stauffenberg-like“.
mehr lesen...
