während die Linke.Offene Liste wegen angeblicher "Verletzung der Verschwiegenheit" von der CDU und SPD in Fulda hart angegangen wird (vgl. Ganzkörperkondom und Leinenzwangsjacke reichen nicht ), wurden an wesentlich exponierterer Stelle im Internet hoch sensible und persönliche Daten Jedermann/Jederfrau zur Einsicht freigegeben.
Ort des Geschehens ist die Webpräsenz des Verlagshauses Parzeller, in der nicht nur die Fuldaer Zeitung erscheint, sondern das darüber hinaus auch noch für das Internetportal www.fulda-online.de und damit für die Webseiten der Stadt Fulda zuständig ist.
Die Bilderstrecke, die zeigt, dass nur 4 Mausklicks notwendig waren, um von der Startseite der Parzeller-Webpräsenz in den sensiblen Bereich vorzudringen, folgt in Kürze. Alternativ konnte auch einfach der letzte Teil der Adresszeile entfernt werden, um an die gleiche Stelle zu gelangen. Expertenwissen oder gar Hackerkenntnisse waren für den Zugriff also keineswegs erforderlich. Vielmehr bestand seit Monaten oder gar Jahren die Gefahr einer dauerhaften Veröffentlichung der Daten durch eine Anmeldung bei der Suchmaschine Google. Gestern (10.10.06) kurz vor 17.00 Uhr haben wir Parzeller via Kontaktformular auf das Problem hingewiesen (s.u.). Eine Antwort ging bisher noch nicht ein. Die sensiblen Dateien wurden heute morgen gegen 10.00 Uhr aus dem Verzeichnis entfernt.
Sehr geehrte Damen und Herren,
auf Ihren Webseiten bieten Sie die Möglichkeit sich online zu bewerben.
Wie ich heute Nachmittag feststellen konnte, werden die Daten der Bewerbungsschreiben (inkl. aller persönlichen Daten und des Anschreibens) im /cgi-Verzeichnis unter www.parzeller.de abgespeichert.
Dieses Verzeichnis ist nicht durch ein Passwort oder gegen Auflistung geschützt!
Jeder Interessierte kann weltweit durch Eingabe von www.parzeller.de/cgi in den Browser auf alle Bewerbungen seit dem Jahre 2001 zugreifen.
Im gleichen Verzeichnis - und daher ebenfalls öffentlich - sind die Daten des Parzeller-Kontaktformulares gespeichert. Hier besteht sogar die Möglichkeit alle Formulardaten seit dem Jahre 2000 einzusehen.
Ich bitte Sie umgehend im eigenen Interesse und vor allem aber im Interesse der betroffenen Bewerber, die Ihnen diese Daten anvertraut haben, schnellstmöglich zu reagieren.
Mit freundlichen Grüßen Ronald Wölfel
Update 1: Eine Stunde nach Veröffentlichung dieses Beitrags wurde das /cgi Verzeichnis vollständig für die Öffentlichkeit gesperrt. Update 2: Gegen 14.00 Uhr funktionierten weder Bewerbungs- noch Kontaktformular. Update 3: Die Bilderstrecke ist online.
|
Sicherheitslücke besteht noch immer
Geschrieben von Ronald am 2006-10-11 14:07:27
Gegen 13.35 erhielt ich die unten wiedergegebene Mail (Name entfernt). Demnach bestand die Sicherheitslücke weiter. Allerdings konnte ich, als ich es versucht hatte, die dort angegebenen Links zu verwenden, nicht mehr drauf zugreifen. Der indirekten Beweis für die dort angeführten Behauptungen, liefert der Versuch irgendein Kontaktformular auf den Parzeller-Seiten jetzt abzuschicken: Bewerbungs- und Kontaktformular wurden vollständig deaktiviert, es erscheint die Fehlermeldung: "Forbidden, you dont have permission to access..."
====
Hallo Herr Woelfel,
unter http://www.parzeller.de/cgi/bewerbung.bemf und
http://www.parzeller.de/cgi/form1.bemf stehen auch noch die E-Mail Adressen vom Bewerber-Formular und vom Kontakt-Formular.
Habe das Formular mal "testweise" anonym abgeschickt:
(
Diese E-Mail Adresse ist gegen Spam Bots geschützt, Sie müssen Javascript aktivieren, damit Sie sie sehen können
und
Diese E-Mail Adresse ist gegen Spam Bots geschützt, Sie müssen Javascript aktivieren, damit Sie sie sehen können
) am Ende der Liste...
Neue Einträge landen wieder in der Liste (bzw. der Datei).
Die sollte man ggf. auch mal schützen oder entfernen... =)
Schöne Grüße aus Fulda,
| Datenschutz bei der Fuldaer Zeitung
Geschrieben von Gast am 2006-10-11 15:27:57
Anscheinend wird dem Datenschutz bei der Fuldaer Zeitung nicht wirklich Rechnung getragen. Erschreckend. Und diese Unternehmen soll demnächst auch noch Briefe in Fulda austragen dürfen. Da wird einem Angst und Bange. | Skandal!
Geschrieben von Gast am 2006-10-12 00:36:15
Wäre das nicht mal was für überregionale Zeitungen? Oder hackt eine Krähe der anderen kein Auge aus? | frank
Geschrieben von Gast am 2006-10-12 12:27:57
weil dann die auch unter untersuchung geraten, und es sicher nicht besser machen...
gruss frank | shit happens
Geschrieben von Gast am 2006-10-13 19:14:05
Ausprobieren ob dies bei anderen Portalen - Von Zeitungen - auch so ist
shit happens to happen twice
bullshit to
Manfred |
Nur registrierte Benutzer können Kommentare schreiben.
Bitte melden Sie sich an oder registrieren Sie sich. Powered by AkoComment 2.0! |
