Ich habe mir Webserver deutscher #Kommunen und #Städte angeschaut. Das Ergebnis habe ich in einem Blogartikel veröffentlicht. Massive #Datenabflüsse, diverse #Schwachstellen und fehlende best practice zeichnen ein fatales Bild.
renerehme.dev/blog/informati…
Eine Übersicht 🧵👇
renerehme.dev/blog/informati…
Eine Übersicht 🧵👇
Vorab: Kennt ihr die Top 3-Bedrohungen aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2022? "Schwachstellen", "Identitätsdiebstahl", "falsch konfigurierte Online-Server" - BINGO!
bsi.bund.de/DE/Service-Nav…
bsi.bund.de/DE/Service-Nav…
💥 Auf einigen Servern bin ich auf eine Fehlkonfiguration aufmerksam geworden, welche dazu führte, dass ich den E-Mail-Verkehr von mehreren Städten nachvollziehen und teils E-Mail Anhänge öffentlich (!) einsehen konnte. 
Diese Nachlässigkeit scheint so weit verbreitet, dass ich das mit Erfolg z.B. auch bei drei technischen Universitäten, einer Partei und sogar bei einem der größten deutschen Hostinganbieter konnte.
Über 6 GB E-Mail Anhänge - darunter Personalausweise, Reisepässe, Anträge aller Art. E-Mail-Verkehr (Sender, Empfänger, Uhrzeit) von über 2.000.000 verschickten E-Mails.
💥 Ich hatte Zugriff auf verschiedene Intranet Anwendungen. Einsicht in Dokumente, die nicht für die Öffentlichkeit bestimmt sind. Sonstigen internen Bumms.
💥 Ich hatte Zugriff auf Logfiles mit sensiblen Daten. Habt ihr schonmal eine Sperrmüllabholung online beantragt? Eine Neuanmeldung / Eigentümerwechsel zur öffentlichen Müllabfuhr? Solche Daten wurden z.B. von einer Kreisstadt in einem öffentlich abrufbaren Logfile gespeichert.
💥 Ich hatte Zugriff auf diverse Datenbanken. Insg. 7GB SQL-Dumps wodurch mehrere 100.000 personenbezogene Datensätze abgeflossen sind.
💥 Fehlende Wartung von Serverkomponenten. Ich hatte durch eine Information Disclosure Schwachstelle bei über 60 Webserver einen Einblick über die Versionierung der verwendeten Serverkomponenten und musste feststellen, dass über die Hälfte davon EOL erreicht haben.
💥 Was mich richtig ankotzt: Es brauchte kein tieferes Sachverständnis, um das alles zu finden. Da IT-Kompetenzen in Kommunen teils nicht vorhanden und extern eingekauft werden müssen, versprechen diverse Dienstleister, neben sinnvollen Lösungen auch absoluten Schwachsinn.
Ich bin der Meinung, dass man erstmal für banale (Sicherheits-)Standards sorgen sollte, bevor man sich mit beworbenem KI, Blockchain oder SSI Quatsch (mainly auf politischer Ebene) lächerlich macht. Oder noch besser: Kommunen mit entsprechender IT-Fachkompetenz intern stärken.
Ich war bemüht, alle Schwachstellen zu melden. Die meisten Verantwortlichen haben schnell reagiert. Einige musste man erinnern. Ein paar wenige haben mich souverän ignoriert.
Solltet ihr nicht mitbekommen haben, dass Kommunen immer mehr mit Angriffen zu kämpfen haben oder was allg. bei der Digitalisierung falsch läuft , dann könnt ihr z.B. @HonkHase, @fluepke, @dani_stoffers, @bkastl, @LilithWittmann oder @chaosupdates folgen.
PS: Bashing? Nope. Die ganze Aktion soll in erster Linie sensibilisieren und Öffentlichkeit herstellen. Daher werden auch explizit keine Kommunen oder Städte namentlich genannt.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
