Kundendaten von Viag Interkom sichtbar

Eine zur CeBIT gelaunchte Site der Viag Interkom, Creating-Visions weist ein gravierendes Sicherheitsloch auf. Wie ZDNet von einem Leser erfuhr, ist die auf einem Internet Information Server von Microsoft (Börse Frankfurt: MSF) gehostete Site anfällig gegen einen bekannten und seit langem gepatchten Bug.

Auf der Creating-Visions-Site konnten sich Kunden von Viag für einen Termin während der CeBIT anmelden. Dazu haben sie unter anderem ihre Namen, Firmennamen, Telefonnumern und so weiter eingegeben. Die Informationen wurden auf einem SQL-Server bei der Webagentur bas gespeichert. Allerdings liegen die User ID (SA) sowie das Passwort für die Datenbank auf einer Website, deren Quellcode durch in der ASP-Programmierung gespeicherte Informationen zugänglich ist.

Mithilfe der User ID sowie des Passwortes ist es für einen Angreifer, der über die entsprechende Microsoft-Software verfügt möglich, die Datensätze aus der Datenbank der Webagentur auszulesen. Etliche hundert Kunden hatten sich für einen Gesprächstermin während der CeBIT interessiert und waren gespeichert. Ein Sprecher der Viag kündigte an, die entsprechende Site vom Netz zu nehmen. Ein Sprecher der Agentur bas konnte sich die Sicherheitslücke nur durch einen nicht aufgespielten Patch erklären.

Entdeckt wurde das Problem von einem Kunden der Viag Interkom, der auch zu einem Gespräch während der Messe eingeladen wurde. „Wenn ich so eine Seite zu sehen kriege, spiele ich immer erstmal ein wenig rum, um zu sehen, ob die Software auch auf dem neuesten Stand ist“, sagte er gegenüber ZDNet. „Ich war natürlich verblüfft zu sehen, dass dieser uralte Bug bei dem Server nicht gepatcht war. Ich habe dann eine Mail an die Kontakt-Adresse geschrieben, aber außer einer Lesebestätigung vom 12. März habe ich keine weitere Antwort bekommen.“

Kontakt: Viag Interkom, Tel.: 0800/1090000