👾 Rene Rehme Profile picture
Oct 26 14 tweets 6 min read
Ich habe mir Webserver deutscher #Kommunen und #Städte angeschaut. Das Ergebnis habe ich in einem Blogartikel veröffentlicht. Massive #Datenabflüsse, diverse #Schwachstellen und fehlende best practice zeichnen ein fatales Bild.
renerehme.dev/blog/informati…

Eine Übersicht 🧵👇
Vorab: Kennt ihr die Top 3-Bedrohungen aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2022? "Schwachstellen", "Identitätsdiebstahl", "falsch konfigurierte Online-Server" - BINGO!
bsi.bund.de/DE/Service-Nav…
💥 Auf einigen Servern bin ich auf eine Fehlkonfiguration aufmerksam geworden, welche dazu führte, dass ich den E-Mail-Verkehr von mehreren Städten nachvollziehen und teils E-Mail Anhänge öffentlich (!) einsehen konnte.
Diese Nachlässigkeit scheint so weit verbreitet, dass ich das mit Erfolg z.B. auch bei drei technischen Universitäten, einer Partei und sogar bei einem der größten deutschen Hostinganbieter konnte.
Über 6 GB E-Mail Anhänge - darunter Personalausweise, Reisepässe, Anträge aller Art. E-Mail-Verkehr (Sender, Empfänger, Uhrzeit) von über 2.000.000 verschickten E-Mails.
💥 Ich hatte Zugriff auf verschiedene Intranet Anwendungen. Einsicht in Dokumente, die nicht für die Öffentlichkeit bestimmt sind. Sonstigen internen Bumms.
💥 Ich hatte Zugriff auf Logfiles mit sensiblen Daten. Habt ihr schonmal eine Sperrmüllabholung online beantragt? Eine Neuanmeldung / Eigentümerwechsel zur öffentlichen Müllabfuhr? Solche Daten wurden z.B. von einer Kreisstadt in einem öffentlich abrufbaren Logfile gespeichert.
💥 Ich hatte Zugriff auf diverse Datenbanken. Insg. 7GB SQL-Dumps wodurch mehrere 100.000 personenbezogene Datensätze abgeflossen sind.
💥 Fehlende Wartung von Serverkomponenten. Ich hatte durch eine Information Disclosure Schwachstelle bei über 60 Webserver einen Einblick über die Versionierung der verwendeten Serverkomponenten und musste feststellen, dass über die Hälfte davon EOL erreicht haben.
💥 Was mich richtig ankotzt: Es brauchte kein tieferes Sachverständnis, um das alles zu finden. Da IT-Kompetenzen in Kommunen teils nicht vorhanden und extern eingekauft werden müssen, versprechen diverse Dienstleister, neben sinnvollen Lösungen auch absoluten Schwachsinn.
Ich bin der Meinung, dass man erstmal für banale (Sicherheits-)Standards sorgen sollte, bevor man sich mit beworbenem KI, Blockchain oder SSI Quatsch (mainly auf politischer Ebene) lächerlich macht. Oder noch besser: Kommunen mit entsprechender IT-Fachkompetenz intern stärken.
Ich war bemüht, alle Schwachstellen zu melden. Die meisten Verantwortlichen haben schnell reagiert. Einige musste man erinnern. Ein paar wenige haben mich souverän ignoriert.
Solltet ihr nicht mitbekommen haben, dass Kommunen immer mehr mit Angriffen zu kämpfen haben oder was allg. bei der Digitalisierung falsch läuft , dann könnt ihr z.B. @HonkHase, @fluepke, @dani_stoffers, @bkastl, @LilithWittmann oder @chaosupdates folgen.
PS: Bashing? Nope. Die ganze Aktion soll in erster Linie sensibilisieren und Öffentlichkeit herstellen. Daher werden auch explizit keine Kommunen oder Städte namentlich genannt.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with 👾 Rene Rehme

👾 Rene Rehme Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(