Home Sicherheit Webseite der Gernalbundesanwaltschaft gecrackt – musste das sein?

Die Generalbundesanwalt Range steht momentan in starker Kritik, weil er gegen die beiden Journalisten Markus Beckedahl und Andre Meister vom Blog Netzpolitik.org ein Ermittlungsverfahren wegen Landesverrat auf Antrag des Bundesverfassungsschutz eingeleitet hat. Durch den Druck der Medien ruht das Ermittlungsverfahren und bereits vergangenes Wochenende gab es in Berlin eine Demonstration mit 2.500 Teilnehmern gegen das Vorgehen der Bundesanwaltschaft. Jetzt hat ein Cracker über SQL Injection Zugriff auf die Datenbank hinter der Webseite der Generalbundesanwaltschaft erhalten. Der 9,5 Megabyte große SQL-Dump – so wird die Datenbank in exportierter Textform genannt – beinhaltet größtenteils die öffentlich zugänglichen Inhalte der Webseite. Die Datenbank wurde aber auch vom Script PHPFileNavigator genutzt, womit auch Informationen zu hochgeladenen PHP Skripten in der entwendeten Datenbank enthalten sind.

Dadurch könnte der Angreife auch weiteren Zugriff auf andere Scripte gehabt haben. Die Datenbank wurde von Sonntag auf Montag offline genommen und ist inzwischen wieder voll erreichbar. Diesmal aber wohl ohne Sicherheitslücke im Bereich der SQL-Abfragen in der URL bei der Webseitennavigation. Da aber in der Datenbank auch die Passwörter in Hash-Form vorhanden sind, ist es auch wahrscheinlich, dass der Angreife noch weiteren Zugriff auf die Seite bekommen könnte. Viele Hashes sind in öffentlich zugänglichen Datenbank enthalten mit dem entsprechendem Klar-Passwort.

Musste das sein? Wenig hilfreich bei der Debatte!

Äußerst ärgerlich finde ich diesen Vorfall aus dem Grund, dass es einige Politiker und Behörden nur bestärkt darin werden, verhärtet gegen Hacker bzw. Cracker vorzugehen. Auch wenn dieser Hack wohl nur ein Signal für das Handeln der Bundesanwaltschaft ist: die Demonstration am vergangenem Samstag fand ich da wesentlich sinnvoller! Selbstjustiz ist selten ein guter Akt in der Demokratie.