Frei zugängige Passwörter

Geschrieben am 15. November 2007 um 21.41 von Franz Winkler

Wie sorglos so mancher selbsternannte Webdesigner und Programmierer mit den Passwörtern seiner Kunden umgeht, konnte ich heute wieder feststellen.

Eine Geschäftsfrau besuchte mich in meiner Agentur und erkundigte sich über den Aufwand und die anfallenden Kosten für ein kleineres Update ihrer bestehenden Website, welche vor zwei Jahren von einer anderen Agentur erstellt wurde. Um ein konkretes Angebot erstellen zu können, war auch ein Zugang zum Webserver nötig, weil es sich offensichtlich um einen recht unprofessionellen und aus technischer Sicht chaotischen Webauftritt mit Frames handelte. Doch die nette Dame hat bisher noch keine Zugangsdaten zum Webserver erhalten. Sollte soweit auch kein Problem sein, denn nach ein paar Klicks war ich plötzlich im Ordner "/conf" und konnte den gesamten Inhalt auslesen. Darin befand sich auch eine Datei namens "config.inc", welche problemlos zu öffnen war und den Inhalt anzeigte. In dieser Datei befanden sich nicht nur die Zugangsdaten zum FTP-Server, sondern auch noch sämtliche Kennwörter für die mySQL-Datenbank, für E-Mailadressen und viele weitere interessante Angaben, die in dieser Datei überhaupt nichts zu suchen hätten. Offensichtlich musste es sich hierbei um ein selbst programmiertes Content Management System (CMS) handeln, worüber die Kundin bisher aber nicht informiert wurde. Wozu auch, waren doch nur statische Seiten vorhanden, bis auf die Navigation, diese wurde dynamisch aus einer Datenbank generiert, was bei einem Seitenaufbau mit Frames doch ein ziemlich großer Schwachsinn ist.

Ich habe keine Ahnung, was diese Leute hierbei im Schilde führten. Es ist beinahe schon kriminell, wie hier vorgegangen wurde, denn mit bösen Absichten wäre diese Website in wenigen Minuten lahm zu legen, oder als Spam-Schleuder zu missbrauchen.

Dies war natürlich kein Einzelfall, denn dank Google und Co können solche ungeschützten Dateien in kurzer Zeit aufgespürt werden. Man muss nur die richten Suchbegriffe wählen, welche ich an dieser Stelle aber nicht veröffentlichen werde.

Kategorie: Internet0 Kommentare