Der österreichische Gebühren Info Service, der grob der deutschen GEZ entspricht, wurde gestern Ziel einer Aktion aus dem Hause Anonymous. Dabei haben auch nach Angaben von @AnonAustria 211,695 Datensätze (davon 95,954 mit Kontodaten) aus der Kundenbank des GIS die Festplatte gewechselt. Ein Teil dieser Daten wurde auch veröffentlicht, allerdings nur diejenigen mit Emailaddressen @polizei.gv.at und @bmi.gv.at, die für Polizisten und Mitarbeiter des Innenministeriums vergeben werden.
Die 95,954 Kontonummern waren – das scheint ja inzwischen Standard zu sein – unverschlüsselt auf dem Server gespeichert. Eine vollständige Veröffentlichung ist laut Gulli nicht geplant. Der Hinweis [‚ OR ‚1’ = ‚1] For Teh Lulz in der Veröffentlichung deutet auf eine SQL-Injection als ausgenutzte Sicherheitslücke hin. Kritik an den Sicherheitsvorkehrungen der GIS ist hier durchaus angebracht.
Die Aktion erinnert an die Veröffentlichungen von LulzSec und der NoName-Crew, die zum Teil haarsträubende Unachtsamkeit in Fragen der Datensicherheit aufgezeigt haben. Bei der Bewertung solcher Aktionen scheiden sich die Geister. Es sollte aber nicht vergessen werden, dass die GIS eine Verantwortung für die Sicherheit der Kundendaten trägt, und dass bei Scheunentor-ähnlichen Sicherheitslücken nicht nur politische Aktivisten, sondern auch klandestine Kriminelle Zugriff auf die Daten erhalten haben könnten, ohne groß öffentlich darauf hinzuweisen und sie stattdessen ernsthaft zu missbrauchen.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
14 Kommentare zu „Anonymous: Angriff auf GIS Österreich“
,
[…] zur Zeit ein ganzes Blog füllen. Aber Linmus Neumann kann viel besser schreiben als ich, deshalb klickt hier und zieht euch diese großartige Nachricht rein. Nein, wirklich. Lest das. Das ist richtig lustig. […]
,
Ahm, mag sein, dass ich da einen etwas … idealistischen Blick habe, aber:
Warum zum Henker speichert man solche Daten auf einem aus dem Internet erreichbaren Server?
Wenn man den Server schon unbedingt von außen erreichbar haben möchte, sollte man ihn in so einem Fall im Intranet verstecken, über das nur via VPN zugegriffen werden kann.
Oder sehe ich das falsch?
,
Kleine Korrektur: … auf das nur …
,
Ein VPN soll ein Schutz gegen Hacker sein?
Guten Morgen! ;-)
Alles, was irgendwo auf einem Rechner gespeichert ist, der Zugang zum Internet hat, kann nie zu 100% geschützt sein, egal ob das nun „intern“ in einem Intranet, im Internet selbst oder sonst wo rumliegt.
Ich hoffe nur, Sie sind nicht so ein „IT-Studenten-Experte“, der sich als „Sicherheitsexperte“ anbietet …
,
Ich habe nicht behauptet, dass VPN gegen Hacker schützt. Mir ist auch klar, dass es 100%-ige Sicherheit nur für Netzwerke gibt, die vollständig von der Außenwelt abgeschnitten sind.
Meine Überlegung war nur, dass es schwieriger wird, einen Server zu finden, der irgendwo im Intranet verborgen vor sich hin werkelt und auch nur aus diesem angesprochen werden kann.
Aber offenbar habe ich da etwas übersteigerte Vorstellungen, was VPN kann und was nicht.
Was Ihre Befürchtung angeht: Ich kann Sie beruhigen. Ich bin zwar Student, aber in einem völlig anderen Fachgebiet. Und selbst da würde ich es nicht wagen, mich als Experten zu bezeichnen.
,
Diebe!!1! Haben die echt die „Originaldaten“ gelöscht? (Dieser Post ist nur als Hinweis gemeint, gewisse Sprachregelungen der „Contenmafaia“ nicht unbedingt zu übernehmen.)
PS: Juhu, es stehen wieder die Veröffentlichungszeiten bei den Artikeln.
,
Die gab es vorher auch schon. Bloß eben als Mouse-over, wenn du auf das Veröffentlichungsdatum gezeigt hast.
Finde ich aber auch gut, dass die jetzt von vornherein angezeigt werden.
,
Gis.at ist wieder down.
Update von Gulli.com:
Aktuell scheint ein regelrechter Kampf zwischen Anonymous und der Administration von gis.at stattzufinden. Immer wieder fügen die Hacker ihre Botschaft auf die Startseite der Webpräsenz ein, nachdem sie von der GIS wieder entfernt wurde. Unser Kontakt erklärte dazu auf Nachfrage: „Dazu lässt sich nur sagen: Anonymous: 5 ; GIS: Minus 211,695“
*grins* GEZ next? ‚o)
,
Nur ein kleiner Hinweis, aber neben dem (wahrscheinlich) falschen „gewechselt“ trennt man hier in Deutschland Tausender-Zahlen immer noch mit Punkt, nicht mit Komma…
,
Ich bin mir sicher, die österreicher Anonymous’ freuen sich über diese Korrektur.
,
Anon vs. GIS in Echtzeit: http://i.imgur.com/HP8aa.gif
,
„klandestine Kriminelle“, da musste erstmal Bing bemüht werden. Und das behauptet, dass „Kriminelle klandestin“ richtig wäre.
,
Ohne Bing geht auch konspirativ. Womit man langsam bei Pleonasmus ankommt. Immer ein Zeichen für besonders liebevollen und wortstarken Journalismus. :)
,
[…] die sie ebenfalls veröffentlichen wollen. Die Gruppe ließ schon in der Vergangenheit mit der Veröffentlichung von brisanten Daten aufhorchen. TwitternDieser Eintrag wurde veröffentlicht in Österreich und getagged AK-Vorrat, […]
Dieser Artikel ist älter als 14 Jahre, daher sind die Ergänzungen geschlossen.