Der IT-Security-Fachmann Tim Philipp hat beim Bundesamt für Migration und Flüchtlinge (BAMF) eine schwerwiegende Sicherheitslücke entdeckt, die sich wegen veralteter Nutzerkonten mit recht skurrilen E-Mail-Adressen wie "
Anzeige
Um den Zugang zu seinen IT-Systemen zu steuern, führte das BAMF vor einigen Jahren eine "Delegierte Benutzerverwaltung (DeBeV)", erklärt Philipp in einem Bericht über seine Entdeckung. Dabei handle es sich um ein zentrales Identitätsmanagement, das über diverse Fachverfahren hinweg funktioniere. Ein öffentlich einsehbares Dokument mit Nutzungshinweisen zur DeBeV vom April 2018 habe brisante Details enthalten. Anhand von Screenshots der Web-Applikation sei ersichtlich gewesen, dass im Test- und Integrationssystem offenbar ein Account mit der Nutzerkennung "
Weiter fand der Sicherheitsforscher in der Dokumentation einen Hinweis auf den Einsatz der "Passwort vergessen"-Funktion bei DeBeV. Um zu prüfen, ob das Mustermann-Konto noch existierte, richtete er ein sogenanntes Catch-All-Postfach ein. Damit landen sämtliche E-Mails an beliebige Adressen unter der registrierten Domain in einer zentralen Inbox. Siehe da: Wenige Sekunden nach dem Drücken auf die Vergessen-Funktion landete ihm zufolge die entscheidende E-Mail in dem Postfach – inklusive Link zum Zurücksetzen des Passworts. Ein Klick auf den Link habe genügt, um ein neues Passwort ohne weitere Authentifizierung oder Zwei-Faktor-Authentifizierung setzen zu können. Die anschließende Anmeldung sei problemlos verlaufen.
Als besonders brisant schätzt es der Autor ein, dass es ihm mit dem neu gesetzten Passwort potenziell möglich gewesen wäre, sich auch in andere IT-Fachverfahren einzuloggen. Darauf habe er "aus ethischen Gründen" zwar verzichtet. Ein Klick auf "Benutzer verwalten" habe aber eine Liste mit 200 bis 300 Nutzerkonten zutage gefördert, die dem BAMF, Kommunen und Forschungseinrichtungen zugeordnet gewesen seien. Einige Nutzer hätten demnach private E-Mail-Adressen für dienstliche Zwecke verwendet, was ein zusätzliches Sicherheitsrisiko darstelle. Der Zugriff auf den Account hätte potenziell weitreichende administrative Rechte ermöglicht, einschließlich der Möglichkeit, Passwörter anderer Konten zurückzusetzen.
Philipp meldete die Schwachstelle laut seines Berichts an das BAMF, woraufhin die Behörde den betroffenen Account zusammen mit den vier weiteren Konten anna.mustermann, bernd_beispiel, carla-columna und maria.muster unter der gleichen Domain innerhalb von vier Stunden deaktiviert habe. Eine sofortige Rückmeldung vom BAMF sei nicht erfolgt, was zu weiteren Nachfragen führte. Schließlich habe die Behörde bestätigt, dass die Sicherheitsprobleme behoben worden seien. Laut Netzpolitik.org informierte das Amt auch die Bundesdatenschutzbehörde. Philipp empfiehlt, eine klare Trennung zwischen Test- und Produktivsystemen vorzunehmen, Konten-Hygiene zu üben sowie eine Multi-Faktor-Authentifizierung zu implementieren, um solche Sicherheitslücken zu vermeiden.
(
Kommentare