Anonymous: Angriff auf GIS Österreich

Der österreichische Gebühren Info Service, der grob der deutschen GEZ entspricht, wurde gestern Ziel einer Aktion aus dem Hause Anonymous. Dabei haben auch nach Angaben von @AnonAustria 211,695 Datensätze (davon 95,954 mit Kontodaten) aus der Kundenbank des GIS die Festplatte gewechselt. Ein Teil dieser Daten wurde auch veröffentlicht, allerdings nur diejenigen mit Emailaddressen @polizei.gv.at und @bmi.gv.at, die für Polizisten und Mitarbeiter des Innenministeriums vergeben werden.

Die 95,954 Kontonummern waren – das scheint ja inzwischen Standard zu sein – unverschlüsselt auf dem Server gespeichert. Eine vollständige Veröffentlichung ist laut Gulli nicht geplant. Der Hinweis [‚ OR ‚1‘ = ‚1] For Teh Lulz in der Veröffentlichung deutet auf eine SQL-Injection als ausgenutzte Sicherheitslücke hin. Kritik an den Sicherheitsvorkehrungen der GIS ist hier durchaus angebracht.

Die Aktion erinnert an die Veröffentlichungen von LulzSec und der NoName-Crew, die zum Teil haarsträubende Unachtsamkeit in Fragen der Datensicherheit aufgezeigt haben. Bei der Bewertung solcher Aktionen scheiden sich die Geister. Es sollte aber nicht vergessen werden, dass die GIS eine Verantwortung für die Sicherheit der Kundendaten trägt, und dass bei Scheunentor-ähnlichen Sicherheitslücken nicht nur politische Aktivisten, sondern auch klandestine Kriminelle Zugriff auf die Daten erhalten haben könnten, ohne groß öffentlich darauf hinzuweisen und sie stattdessen ernsthaft zu missbrauchen.

14 Ergänzungen

  1. Ahm, mag sein, dass ich da einen etwas … idealistischen Blick habe, aber:
    Warum zum Henker speichert man solche Daten auf einem aus dem Internet erreichbaren Server?
    Wenn man den Server schon unbedingt von außen erreichbar haben möchte, sollte man ihn in so einem Fall im Intranet verstecken, über das nur via VPN zugegriffen werden kann.
    Oder sehe ich das falsch?

      1. Ein VPN soll ein Schutz gegen Hacker sein?

        Guten Morgen! ;-)

        Alles, was irgendwo auf einem Rechner gespeichert ist, der Zugang zum Internet hat, kann nie zu 100% geschützt sein, egal ob das nun „intern“ in einem Intranet, im Internet selbst oder sonst wo rumliegt.

        Ich hoffe nur, Sie sind nicht so ein „IT-Studenten-Experte“, der sich als „Sicherheitsexperte“ anbietet …

      2. Ich habe nicht behauptet, dass VPN gegen Hacker schützt. Mir ist auch klar, dass es 100%-ige Sicherheit nur für Netzwerke gibt, die vollständig von der Außenwelt abgeschnitten sind.
        Meine Überlegung war nur, dass es schwieriger wird, einen Server zu finden, der irgendwo im Intranet verborgen vor sich hin werkelt und auch nur aus diesem angesprochen werden kann.
        Aber offenbar habe ich da etwas übersteigerte Vorstellungen, was VPN kann und was nicht.

        Was Ihre Befürchtung angeht: Ich kann Sie beruhigen. Ich bin zwar Student, aber in einem völlig anderen Fachgebiet. Und selbst da würde ich es nicht wagen, mich als Experten zu bezeichnen.

  2. Dabei haben auch nach Angaben von @AnonAustria 211,695 Datensätze (davon 95,954 mit Kontodaten) aus der Kundenbank des GIS die Festplatte gewechselt.

    Diebe!!1! Haben die echt die „Originaldaten“ gelöscht? (Dieser Post ist nur als Hinweis gemeint, gewisse Sprachregelungen der „Contenmafaia“ nicht unbedingt zu übernehmen.)

    PS: Juhu, es stehen wieder die Veröffentlichungszeiten bei den Artikeln.

    1. PS: Juhu, es stehen wieder die Veröffentlichungszeiten bei den Artikeln.

      Die gab es vorher auch schon. Bloß eben als Mouse-over, wenn du auf das Veröffentlichungsdatum gezeigt hast.
      Finde ich aber auch gut, dass die jetzt von vornherein angezeigt werden.

  3. Gis.at ist wieder down.

    Update von Gulli.com:

    Aktuell scheint ein regelrechter Kampf zwischen Anonymous und der Administration von gis.at stattzufinden. Immer wieder fügen die Hacker ihre Botschaft auf die Startseite der Webpräsenz ein, nachdem sie von der GIS wieder entfernt wurde. Unser Kontakt erklärte dazu auf Nachfrage: „Dazu lässt sich nur sagen: Anonymous: 5 ; GIS: Minus 211,695“

    *grins* GEZ next? ,o)

  4. Nur ein kleiner Hinweis, aber neben dem (wahrscheinlich) falschen „gewechselt“ trennt man hier in Deutschland Tausender-Zahlen immer noch mit Punkt, nicht mit Komma…

    1. trennt man hier in Deutschland Tausender-Zahlen immer noch mit Punkt

      Ich bin mir sicher, die österreicher Anonymous‘ freuen sich über diese Korrektur.

  5. „klandestine Kriminelle“, da musste erstmal Bing bemüht werden. Und das behauptet, dass „Kriminelle klandestin“ richtig wäre.

    1. Ohne Bing geht auch konspirativ. Womit man langsam bei Pleonasmus ankommt. Immer ein Zeichen für besonders liebevollen und wortstarken Journalismus. :)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.