Homepage der "GIS" von Anonymous gehackt

22. Juli 2011, 11:31
  •  Geflügeltes Pony statt Infos über Gebühren

    Geflügeltes Pony statt Infos über Gebühren

Aktivisten erbeuteten 211.695 Datensätze, samt Kontodaten - Verfassungsschutz ermittelt

Anonymous hat wieder zugeschlagen. Am Freitag wurde die Webseite der "Gebühren Info Service GmbH" (GIS) von den Hackern übernommen. Besucher von www.orf-gis.at bekamen eine von Anonymous gestaltete Website zu sehen. Via Twitter informierte Anonymous über diese Aktion. Die ORF-Tochter GIS ist unter anderem für die Einhebung der ORF-Gebühren zuständig.

Vor- und Nachnamen, Geburtsdaten und Kontodaten

In einem anonymen Email berichten die Internethacker, dass sie nicht nur die Website gehackt, sondern auch ein komplettes Backup der GIS-Datenbank erstellt hätten, inklusive aller Vor- und Nachnamen, Geburtsdaten und Kontodaten. Das schloss Herbert Denk von der GIS dezitiert aus, "da Website und Datenbank auf verschiedenen Servern liegen". 

Kontakte

Von den Hackern seien jene Personen veröffentlicht worden, die über die Homepage mit der GIS in Kontakt getreten seien, so Denk. Von diesen - jährlich rund 20.000 Rundfunkteilnehmern - seien wiederum nur jene Daten publik gemacht worden, die von Mitarbeitern aus Polizei und Innenministerium stammten. Die Daten der rund 3,5 Millionen übrigen Kunden würden auf einem anderen Server liegen und Denk "kann ausschließen, dass diese ganze Datenbank gespeichert wurde".

Anonymous teilte via Twitter mit,  dass man insgesamt "211,695 Datensätze (davon 95,954 mit Kontodaten)" erbeutet habe. Gegenüber dem WebStandard bestätigte Herbert Den, dass die Daten nicht verschlüsselt waren.

Seite gesperrt

Bei der GIS zeigte man sich über den Angriff prinzipiell verärgert. Man will angesichts des entstandenen Kosten- und Arbeitsaufwandes und vor allem angesichts der Veröffentlichung von sensiblen Daten rechtliche Schritte einleiten. Die GIS-Seite wurde unterdessen gesperrt. Wie lange die Wiederherstellung dauert, war noch nicht abzusehen.

Aktionen

In den vergangenen Wochen sorgten die Aktionen von Anonymous für zahlreiche Schlagzeilen in Österreich. So wurden die Webauftritte der FPÖ und SPÖ gekapert. Im Innenministerium ermittelt das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), wie BMI-Sprecher Rudolf Gollia mitteilte.(APA/red)

Share if you care
Posting 1 bis 25 von 1229
Das wird leider ein Nachspiel haben!

Die GIS wird darauf antworten, dass sie die Gebühren erhöhen muss, um mehr in die Sicherheit zu investieren...

Die einzige Antwort, die die GIS kennt: Gebührenerhöhung

Ganz einfach abbestellen!

Bitte ausfüllen
http://www.ramadan2.com/Gis-ORF.pdf

und ORF-Empfang abmelden wenn Ihr den ORF nicht empfangen könnt! Spart bares Geld und ist rechtlich durch das VGH-Urteil abgesichert!

Nur so kann man die Datenschlamperer bestrafen!

...

Wirkt ein wenig wie ein Pyromane, der ein Haus anzündet, um "im Dienste der Öffentlichkeit" auf die katastrophalen Sicherheitsbestimmungen aufmerksam zu machen.

gis von gerade

eben: ich hab bei dieser hotline angerufen.
wollte wissen, wie das mit der offenlegung der gehackten daten bis heute 18.00 uhr sei und wie lange das im einzelfall dauert.
die antwort: keine ahnung, die sache sei noch sooooo frisch und man moege ihnen doch zeit geben.

ich wuerd sehr gerne klagen. wer macht mit bei einer sammelklage?

in ö

gibts nur keine sammelklagen nach us-vorbild. ausserdem fragt sich welchen schaden man wohl geltend machen kann. sie können ja beim vki oder der ak nachfragen, die machen sich für sowas ja gerne im rahmen einer musterklage stark. manchmal zumindest...

danke fuer

die info.

ich hab echt die nase voll von diesen arroganten, selbstherrlichen gis- typen

Ist das jetzt ein Kuendigungsgrund, falls ich dabei bin?

ich würde...

... gerne wissen wer die Seite programmiert hat!

Der Programmierer der eine Seite programmiert hat die man mit

' OR '1' = '1

aushebeln kann sollt Öffentlich dazu Stellung nehmen!

Denn das ist kein Sicherheitsproblem sondern pure FAHRLÄSSIGKEIT!

Ich denke das waren irgendwelche die beim BFI eine "IT" Ausbildung gemacht haben und von der GIS als Spezialisten angagiert wurden um die Server und die Datenbank zu administrieren.
Zuckerbäcker waren wahrscheinlich auch dabei und die von der so tollen SDV die noch nie im Leben was von SQL, Oracle udgl. gehört haben.
Und die GIS macht genau den gleichen Fehler nochmal in dem sie das jetzt von der CERT und dem Verfassungsschutz machen lässt, und nennt das auch noch Spezialisten.
Hoffentlich knackt AnonAustria die Seite dann gleich nochmal und wieder, bis die GIS einsieht das das keine Spezialisten sind sondern Menschen die gerade mal ein altes Nokia Handy bedienen können aber von IT genau so viel Ahnung haben wie ein Fisch vom Fahrradfahren.

hab' jetzt nicht alle posts

mitverfolgt; konnte das tatsächlich so gemacht werden? das ist etwa so, als würde man ein holzgatter durch das einklemmen eines streichholzes sichern wollen - das ist dann eh zu, aber nur solange bis jemand dagegen niest...

ich find das alles irgendwie sympathisch und lustig. bin gespannt wie's weitergeht und ob "anonymous" wirklich "anonymous" bleiben! :)

http://pastehtml.com/view/b1k3rn2h1.html

Frage: Dieses [' OR '1'='1] ist das irgendein Code-Injection-Schmäh oder wie muss man das deuten?!

SQL Injection

' OR '1' = 1 ist die theoretisch einfachste Möglichkeit eine Datenbank zu hacken.
Wenn man diesen Codeteil bei einer Passwortabfrage einschleußt gibt '1=1' immer true zurück und wertet das Passwort als korrekt.
Für mich ist sowas Verleitung zum Diebstahl wie ein Auto offen zu lassen und die GIS gehört angezeigt und sanktioniert.
http://en.wikipedia.org/wiki/SQL_... mentations

Wer ein offenes auto als einladung zum diebstahl versteht hat aber generell ein seltsames (=fehlendes) unrechtsbewusstsein.

jetzt sind WIR dran!

was auch immer man von anonymous halten will, eines haben die söhne und töchter gezeigt: der bildungsauftrag zum thema datenschutz ist in österreich bei weitem nicht erfüllt.

anbei mein beitrag: http://ge.tt/9j02kE6

(wer dem link nicht traut: eine verbesserte version des musterschreibens. die chancen standen nie besser mit so einer guten frage keine blöde antwort zu bekommen!)

sehr fein!

sehr fein ...

sql injection

war das echt so eine simple sql-injection ?

das ist ja schon grob fahrlässig. was sagt die datenschutzkommision dazu?

Naja eigentlich waren in der Datenbank ja die FTP Daten auch noch drin...

was für FTP-Daten?

alte Logindaten für den FTP (natürlich im Klartext,obwohl man das in der config ganz leicht einstellen kann), von denen ein paar noch funktioniert haben :D

wollte schon immer die handynummer von herrn wrabetz - jetzt kann ich ihm persönlich sagen

was ich vom orf-programm halte. rofl.

Posting 1 bis 25 von 1229

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.