Neues FPÖ-Portal für Whistleblower hat Sicherheitsprobleme

11. Februar 2017, 10:44
321 Postings

Riskante Einstellungen, Scantools finden Probleme – "Hören-Sehen-Sagen" soll zur Meldung von Korruption dienen

Die Wiener Landesgruppe der FPÖ ruft dazu auf, Vergehen im Bereich der "Wirtschaftskriminalität und Korruption" an sie zu melden. Dazu hat die Partei die Website "Hören-Sehen-Sagen" eingerichtet.

Insider sollen Korruptionsfälle melden

Laut dem Wiener FP-Vizebürgermeister würden sich immer mehr Menschen wegen "Missstände in Behörden und Magistratsabteilungen" an die Partei wenden, schreibt "Profil" in seiner nächsten Ausgabe, die am Montag erscheint.

Über die Plattform sollen Whistleblower Hinweise übermitteln. Nutzern wird dabei vollkommene Anonymität zugesichert. Die Seite erfüllt nach eigenen Angaben "die neuesten und modernsten Verschlüsselungsstandards."

Sicherheitsprobleme

Ein Versprechen, das laut dem von Mozilla bereit gestellten Sicherheitsscanner "Observatory" jedoch derzeit nicht eingehalten wird. Bei diesem besteht das Whistleblower-Portal nur vier von elf Tests. Bemängelt werden etwa ein fehlender Content Security Policy-Header, eine ungültige Zertifikatskette im Bezug auf die Implementation von HTTPS sowie weitere Probleme.

Aktuell weist Observatory der Seite die schlechtest mögliche Bewertung aus. Gegenchecks mit weiteren Scannern bestätigen die Kritikpunkte. Auch securityheaders.io und das Prüftool des Sicherheitsanbieters Qualys bemängeln Zertifikatsprobleme.

foto: screenshot
Weil das Directory Listing nicht deaktiviert ist, kann man die Verzeichnisse des Webspace einsehen.

Zudem wurde die Anzeige von Verzeichnissen nicht deaktiviert. Es ist also möglich, Verzeichnisse am Server durchzusehen und sich einen Überblick über deren Inhalte zu verschaffen, was ein weiteres potenzielles Risiko darstellt. Eingegebene Meldungen werden über eine Typo3-Erweiterung namens Powermail verschickt, landen bei der FPÖ also als E-Mail im Posteingang. (gpi, 11.02.2017)

Update, 11:20 Uhr: Ergänzung bzgl. nicht deaktiviertem Directory Listing und Powermail hinzugefügt.

  • Sicherheitsprüftools bescheinigen dem FPÖ-Whistleblowerportal einige Probleme.
    foto: screenshot

    Sicherheitsprüftools bescheinigen dem FPÖ-Whistleblowerportal einige Probleme.

    Share if you care.