Hack-Angriff: Sicherheitslücken bei österreichischen Energieversorgern

20. Februar 2014, 14:00
25 Postings

Zugriff auf Kundendaten bei Energie Steiermark, Datenbankleck in Leoben - Zusammenhang möglich

Durch eine Datenbank-Lücke war es möglich, die Homepage der Stadtwerke Leoben zu kapern. Via SQL-Injection konnten verschiedene Daten abgegriffen werden, darunter auch den Zugang des Seiten-Admins. Möglich war dies auch aufgrund einer fehlerhaften Konfiguration.

Eine anonyme Quelle übermittelte dem WebStandard hierzu eine Beschreibung und Auszüge aus der Datenbank. Diese enthielten unter anderem Kundennummern, Namen, E-Mail-Adressen und Zählerstände und Rechnungsinformationen. Dazu wurde auch eine Liste an Verwaltungsaccounts nebst gehashter Passwörter übermittelt.

Unzureichend gesicherte Passwörter

Der Informant des Standard stellte fest, dass die Kennwörter darüber hinaus nicht weiter gesichert waren und konnte exemplarisch über einen Dictionary-Angriff einige entschlüsseln. Der WebStandard wiederum konnte ohne großen Aufwand die Adresse des Administrations-Bereichs der Stadtwerke-Website ausfindig machen und auf diesem Wege die Echtheit des ebenfalls übermittelten Logins des Verwaltungskontos verifizieren.

Der Zugang des Seiten-Admins wäre aber auch ganz ohne Datenbankleck als sehr unsicher einzustufen. Sowohl Username als auch Passwort - wären auch leicht zu erraten gewesen und entsprachen weder in Länge noch Zusammensetzung gängigen Empfehlungen bezüglich Passwortsicherheit. Zusätzlich bestand auf der Seite möglicherweise auch eine Cross-Site-Scripting-Lücke.

Behebung in Arbeit

Für die Homepage der Stadtwerke Leoben ist ein externer Dienstleister, das Unternehmen e-dvertising, zuständig, der vom WebStandard am 19. Februar auf die Lücken hingewiesen wurde. Die Behebung der Probleme ist nach wie vor in Arbeit. Der DNS-Eintrag wurde umgehend geändert, aktuell (Stand: 20. Februar, 13:45 Uhr) befindet sich die Seite nach wie vor im Wartungsmodus.

Auch bei den Stadtwerken geht man anhan eines übermittelten Datenauszugs davon aus, dass es sich nicht um eigene Kundendaten handelt.

Rätsel um Kundendaten

Laut e-dvertising handelt es sich um Daten eines anderen Projektes, das am gleichen Server liegt. Der Großteil der Informationen ist mit 2007 oder 2008 datiert, allerdings liegen auch Daten zu E-Rechnungen aus 2012 vor. Soweit nachvollziehbar scheinen zwar keine Leobener Nutzer auf, durchgängig welche aus der Steiermark.

Dies ist insofern interessant, da sich die Website der Stadtwerke Leoben auf den Servern der Energie Steiermark befindet. Dort wurde noch am Mittwoch ein "Hackerangriff" vermeldet, bei dem sehr wohl Zugriff auf die Daten von Gas-Kunden stattgefunden haben soll, wobei aber keine Bankverbindungen betroffen sein sollen.

Ein Zusammenhang mit dem Datenbankzugriff in Leoben liegt dementsprechend nahe. Die Energie Steiermark gibt jedoch hierzu unter Verweis auf laufende Ermittlungen keinen Kommentar ab. Auch e-dvertising macht keine näheren Angaben. (Georg Pichler, derStandard.at, 20.02.2014)

  • In Leoben tat sich ein Datenbankleck auf, die Energie Steiermark meldete einen Hack-Angriff. Das Landeskriminalamt ermittelt in letzterem Falle, ob ein Zusammenhang zwischen beiden Vorfällen besteht, ist nicht geklärt.
    foto: apa

    In Leoben tat sich ein Datenbankleck auf, die Energie Steiermark meldete einen Hack-Angriff. Das Landeskriminalamt ermittelt in letzterem Falle, ob ein Zusammenhang zwischen beiden Vorfällen besteht, ist nicht geklärt.

  • Seit gestern Nachmittag ist die Homepage der Stadtwerke Leoben im Wartungsmodus.
    foto: screenshot

    Seit gestern Nachmittag ist die Homepage der Stadtwerke Leoben im Wartungsmodus.

  • Im Datenbankauszug war ein funktionierender Verwaltungslogin enthalten, der noch dazu mit einem sehr unsicheren Passwort versehen war.
    foto: screenshot

    Im Datenbankauszug war ein funktionierender Verwaltungslogin enthalten, der noch dazu mit einem sehr unsicheren Passwort versehen war.

Share if you care.