Die Webseite der CSU-Landtagsfraktion ist voller kritischer Sicherheitslücken ebenso wie Heiko Frenzel ein Sicherheitsforscher, kürzlich auf seinem Blog bekannt gab. Nach nur fünf Minuten Suche entdeckte er zahlreiche Schwachstellen die sensible Daten und FTP-Zugänge ungeschützt hinterlegten. Frenzel bezeichnete den Umgang der Partei mit diesen Daten als "Worst-Case-Szenario". Insgesamt waren rund 800 verschiedene Zugangsdaten unverschlüsselt auf der Webseite hinterlegt welche Hackern im Fall der Fälle eine fette Beute beschert hätten.
Digitale Transformation der CSU: Schlechtes Beispiel für andere
Die bayerische CSU gibt sich gerne als Vorreiterin in Sachen Digitalisierung aus – doch die Realität sieht leider anders aus. Die Webseite der CSU-Landtagsfraktion war von diversen XSS-Lücken betroffen, mittels welchem Angreifer diverse Scripts einschleusen und ausführen konnten. Hinzu kam eine SQL-Injection-Schwachstelle, über die Angreifer vollen Zugriff auf die Datenbank erlangen konnten. Über 300 Zugangsdaten von Abgeordneten und anderen Landtagsmitarbeitern, deren Passwörter lediglich md5-gehasht waren, befanden sich in der zugänglichen Datenbank. Einige Passwörter waren zudem äußerst einfach gestaltet. Hacker hätten dadurch Zugriff auf weitere sensible Bereiche erhalten können, einschließlich der Webseite und der Besucherdaten die von Schadsoftware betroffen gewesen wären.
CSU-Landtagsfraktion: 800 Zugangsdaten und weiterhin im Angebot
Als ob all das nicht schon schlimm genug wäre, gab es ebenfalls noch einen File-Inclusion Bug der den Download jeglicher Daten ermöglichte. Eine Konfigurationsdatei mit 500 weiteren Zugangsdaten von Abgeordneten, E-Mail-Konten, FTP-Zugängen, Newsletter-Systemen und vielem mehr befand sich auf dem öffentlichen Verzeichnis des Webservers. "Für einen erfolgreichen Angreifer wäre das der ultimative Generalschlüssel gewesen", schreibt Heiko Frenzel auf seinem Blog. Die Sicherheitslücken waren historischer Natur.
Kein Dankeschön von der Führungsriege
Frenzel kontaktierte einen persönlich bekannten MdL und teilte ihm den Ernst der Lage mit. Er übermittelte auch einen detaillierten Report über die Lücken, womit er Schlimmeres verhindert haben dürfte. Zumindest ist bisher kein Hack der Zugänge von Mitgliedern der CSU-Landtagsfraktion bekannt geworden.
Obwohl er keine Bezahlung für seine Hilfe verlangte, erhielt Frenzel kein Dankeschön von der Führungsriege der CSU. Ihm geht es um die Herstellung von Sicherheit und nicht um eine persönliche Bereicherung wie er betont. Doch ein Armutszeugnis für einen "High-Tech"-Minister ist es dennoch, dass es keine Reaktion oder Dank in irgendeiner Form gab.
Kommentare