Google schlampt mit Sicherheit
Allgemein/Internet Juni 5th, 2007Google (einer der größten Suchmaschinenanbieter und auch als Datenkrake bekannt) schlampt wohl etwas mit der Sicherheit.
Ich habe zwar keine Ahnung, wie die Leute auf sowas kommen, aber offenbar hat Google selber geholfen eine ungesicherte Stelle bei Google aufzudecken. Wie Google-Blogoscoped berichtet, wurde im Google Index (der Suchmaschine) die URL eines Google-Dienstes gefunden, der nicht gut abgesichert war.
Ursprünglich hat Earl Grey über die Directory-Listing bzw. Directory-Traversal Lücke gebloggt, doch waren die Informationen sehr dürftig. Die Hacker Seite 0x00000 hat sich der Sache dann angenommen und stell ausführlichere Informationen zur Verfügung.
Die Lücke ist nichts weltbewegendes – man kann einfach denvon Google verwendeten Webserver dazu bewegen mehr Daten herzugeben als nur die vorgesehende von Google programmierte Oberfläche.
So kann man sehen, mit welchen Userdaten der Google-Dienst auf die (MySQL) Datenbank zugreift, und es lassen sich auch einzelne serverseitige Java Dateien herunterladen.
Inzwischen ist die Lücke wohl gestopft, sprich man erreicht unter dieser URL keine internen Daten von Google mehr.
Sollte es sich bei der ganzen Angelegenheit nicht um einen Fake oder Linkbait handeln, wovon ich mal ausgehe, dann macht das zumindest nachdenklich, wie ernst es Google mit der Sicherheit hält. Nachdem bereits einige offizielle Google-Blogs mit falschen Postings bestückt wurden, ist dies ein weiteres Indiz dafür, dass drigender Nachholbedarf bei dem Thema Sicherheit besteht.
Und das fängt bei ganz kleinen Dingen an, wie nicht benötigte Ports (in diesem Fall war es 8882) per Firewall dicht zu machen, und Passwörter mit höherer Sicherheit als „k00k00“ zu verwenden. Mal davon ganz zu schweigen, dass Passwörter nicht in prinzipiell von außen abrufbare Verzeichnisse gehören.
Neue Kommentare