Mittwoch, April 16, 2008

Sexualstraftäter Internet-Datenbank in USA manipulierbar

Lässt man einen Browser direkt mit einer MySQL-Datenbank kommunizieren, kann man interessante Dinge anstellen. Beispielsweise Krankenakten auslesen, Sozialversicherungsnummern klauen oder die Daten von Sexualstraftätern in Oklahoma abgreifen. Mit denen lassen sich auch viele Dinge anstellen - und einmal mehr wird klar, dass bei allen öffentlichen und nichtöffentlichen Datensammlungen das Problem entsteht, dass sie gehackt, missbraucht, manipuliert werden können und die Folgen kaum absehbar sind.
Dabei muss man sich in vielen Fällen etwas mehr anstrengen als beim Ordnungsamt in Oklahoma. Dort übergab der Browser MySQL-Queries direkt von der Browserzeile an die Datenbank - - mit ein wenig Ahnung von MySQL-Syntax ließ sich so die Datenbank beliebig durchsuchen. Enthalten waren neben der "Sex Offender Registry" auch Namen, Daten und Sozialversicherungsnummern aller wegen Ordnungswidrigkeiten und Straftaten gemeldeten Bürger, nebenbei auch die der Staatsangestellten.
Auf letztere musste der "Hacker" auch zurückgreifen, bis man sich in Oklahoma bequemte, die Sicherheitslücken zu schließen bzw. bis dahin die Seite vom Netz zu nehmen. Zuvor wurde dem Amt demonstriert, was man alles aus der vermeintlich unzugänglichen Datenbank auslesen konnte. Die Tragweite der elementaren Sicherheitslücken wurde den Admins dadurch jedoch nicht klar.
Mindestens drei Jahre war die öffentlich einsehbare Datenbank in einem solchen Zustand - "Hacker" Alex Papadimoulis hält auch für möglich, dass Datensätze verändert wurden. Diese Vorstellung regt schon wieder zu überaus spannenden Überlegungen an - warum nicht die Namen und Adressen von Sexualstraftätern ein wenig abändern, beispielsweise? Die "Medical History" von Staatsbediensteten ein wenig manipulieren? Der Möglichkeiten, einigen Leuten anschaulich beizubringen, was manche Datensammlungen und -veröffentlichungen für Folgen für die Betroffenen haben könnten, sind viele. Vermutlich sind nicht alle Menschen so geduldig und verantwortungsbewusst wie Papadimoulis, der die Sicherheitslücken eben nur meldete.
(Quelle:Gulli.com)

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite