gulli: Sexualstraftäter: Internet-Datenbank in USA manipulierbar
16. April 2008

Sexualstraftäter Internet-Datenbank in USA manipulierbar

Lässt man einen Browser direkt mit einer MySQL-Datenbank kommunizieren, kann man interessante Dinge anstellen. Beispielsweise Krankenakten auslesen, Sozialversicherungsnummern klauen oder die Daten von Sexualstraftätern in Oklahoma abgreifen. Mit denen lassen sich auch viele Dinge anstellen - und einmal mehr wird klar, dass bei allen öffentlichen und nichtöffentlichen Datensammlungen das Problem entsteht, dass sie gehackt, missbraucht, manipuliert werden können und die Folgen kaum absehbar sind.

Dabei muss man sich in vielen Fällen etwas mehr anstrengen als beim Ordnungsamt in Oklahoma. Dort übergab der Browser MySQL-Queries direkt von der Browserzeile an die Datenbank - mit ein wenig Ahnung von MySQL-Syntax ließ sich so die Datenbank beliebig durchsuchen. Enthalten waren neben der "Sex Offender Registry" auch Namen, Daten und Sozialversicherungsnummern aller wegen Ordnungswidrigkeiten und Straftaten gemeldeten Bürger, nebenbei auch die der Staatsangestellten.

Auf letztere musste der "Hacker" auch zurückgreifen, bis man sich in Oklahoma bequemte, die Sicherheitslücken zu schließen bzw. bis dahin die Seite vom Netz zu nehmen. Zuvor wurde dem Amt demonstriert, was man alles aus der vermeintlich unzugänglichen Datenbank auslesen konnte. Die Tragweite der elementaren Sicherheitslücken wurde den Admins dadurch jedoch nicht klar.

Mindestens drei Jahre war die öffentlich einsehbare Datenbank in einem solchen Zustand - "Hacker" Alex Papadimoulis hält auch für möglich, dass Datensätze verändert wurden. Diese Vorstellung regt schon wieder zu überaus spannenden Überlegungen an - warum nicht die Namen und Adressen von Sexualstraftätern ein wenig abändern, beispielsweise? Die "Medical History" von Staatsbediensteten ein wenig manipulieren? Der Möglichkeiten, einigen Leuten anschaulich beizubringen, was manche Datensammlungen und -veröffentlichungen für Folgen für die Betroffenen haben könnten, sind viele. Vermutlich sind nicht alle Menschen so geduldig und verantwortungsbewusst wie Papadimoulis, der die Sicherheitslücken eben nur meldete.

  • 18 Kommentare zum Artikel

  • Zitat: Und auch bei uns arbeiten nur Menschen, die Fehler machen. Und genau deswegen sollte man das Ganze minimieren. Nein nicht die Leute entlassen sondern nur speichern was wirklich nötig ist. Denn was nicht da ist, kann auch nicht missbraucht werden. Geht in soweit auch konform mit der gesetzlich vorgeschriebenen Datensparsamkeit (§3a BDSG). Leider hält sich nur niemand dran.

    Chummer am 17.04.2008 07:18

  • Zitat: Zitat von Chummer [...] nur speichern was wirklich nötig ist. Denn was nicht da ist, kann auch nicht missbraucht werden. Geht in soweit auch konform mit der gesetzlich vorgeschriebenen Datensparsamkeit (§3a BDSG). Leider hält sich nur niemand dran. Glaub's mir, bei uns wird darauf geachtet. Bei uns wird streng jede noch so kleine Richtlinie eingehalten. Wir sind ja auch nichtdas Innenministerium ...

  • [...] Diskussion lesen oder Artikel kommentieren

Suche

RSS

gulli rss gulli News abonnieren
Add to Google
gulli:news feedburner stats
Wie funktioniert RSS?

AKTION

Wir haben bezahlt!
Für günstige, legale und DRM-freie Musik.

Napping

Das Beste von gulli auch auf deiner Seite?
Newsfeed abonnieren  news feed
Suche auf deiner Seite  suchbox
Banner und Buttons  banner & buttons

Support

Rettet das Internet

Piratenpartei Österreich

Piratenpartei Deutschland

© COPYRIGHT 2006 GULLI.COM