Wie heise berichtet, ist die Homepage von Bundesinnenminister Wolfgang Schäuble in der Nacht zu Mittwoch Eindringlingen zum Opfer gefallen, die eine tags zuvor bekannt gewordene Sicherheitslücke im CMS Typo3 ausnutzten. Schäubles Homepage wurde mit Links zum Arbeitskreis-Vorratsdatenspeicherung abgerundet verunstaltet. (Screenshot bei heise).
Die Lücke machte es möglich über eine bestimmte URL eine config-Datei vom Typo auszulesen, in der auch der Hash des Admin-Passworts gespeichert war. Der oberste Mann im Staat (was Sicherheit betrifft) punktet hier vorbildlich mit dem Hochsicherheits-Passwort “gewinner“. Konnte ja keiner mit den ungeahnten Skills der Hacker rechnen -.-
Zwischenzeitlich war es außerdem möglich sich per aktivem Directory Listing ein wenig genauer auf dem Server umzuschauen. Gefunden wurde dabei z.B. folgendes Bild:
Vielleicht fängt Schäuble ja jetzt mal an sich mit diesen suspekten Datenschützern zu beschäftigen </illusion>
Das 2. prominente Opfer der Typo-Lücke heisst übrigens FC Schalke bzw. Kevin Kuranyi, nur wurden hier gezielt falsche Meldungen platziert die einige Medien sogar verbreitet haben. Mehr dazu bei Bildblog.
Alle Typo-User sollten so bald wie möglich die nötigen Updates installieren oder sich wahlweise bei nächster Gelegenheit zum Bundesinnenminister bewerben.
no comment untill now