Sicherheitsloch bei Tageszeitung

Über die Webseite der "Augsburger Allgemeinen" waren am gestrigen Donnerstag die Mail-Adressen von über 2500 Abonnenten des Newsletters der Zeitung zugänglich. Die Redaktion hat das Loch inzwischen gestopft.

Redaktionsleiter Günther Vollath bestätigte gegenüber tecChannel.de den Vorfall. Zuvor hatte ein Leser sowohl die Zeitung als auch unsere Redaktion über das Sicherheitsloch informiert. Durch den Fehler waren sämtliche Mail-Adressen der Surfer zugänglich, die sich bei der "Augsburger Allgemeinen" für den Newsletter des Blattes registriert hatten.

Komfortabel: Mail-Adressen für Unbefugte bei der "Augsburger Allgemeinen".

Mindestens acht Stunden waren die Daten am Donnerstag öffentlich zugänglich. Den Newsletter-Abonnenten droht aber nach unseren Informationen außer einer möglichen Zunahme von Spam-Mails kein Schaden. Außer der Mail-Adresse bot die Datenbank der "Augsburger Allgemeinen" keine persönlichen Daten per Web-Browser an.

Das Blatt arbeitet laut Aussage von Vollath derzeit an verbesserten Sicherheitsmaßnahmen. Diese scheinen aber noch nicht zu greifen. Am Freitag Mittag waren weiterhin die Verzeichnis-Strukturen der Site über den Browser einzusehen. So scheint die Mail-Datenbank ursprünglich auch gefunden worden zu sein.

Der Fehler: Die Verzeichnisse des Servers lassen sich per Browser durchsuchen.

Die Anzeige der Dateien und Verzeichnisse im Browser kann mit einfachen Mitteln unterdrückt werden. Entweder man legt in jedem Verzeichnis eine Datei namens "index.html" an, oder man deklariert den Verzeichnisbaum als "non browsable". (nie)