Bundesagentur für Arbeit ignoriert Sicherheitslücke
sToRm 
Bereits vor über 2 Monaten habe ich die Bundesagentur für Arbeit, über eine höchst kritische Sicherheitslücke in deren Internetportal informiert. Ungefilterte Parameter ermöglichen die Manipulation der Datenbankabfrage innerhalb der Webanwendung. Durch die SQL Injection Schwachstelle wird ein Zugriff auf Datenbanken des Servers, welche von einem Angreifer hierdurch problemlos ausgelesen werden könnten, möglich. Bislang hat man auf die Hinweise leider nicht reagiert und auch die Sicherheitslücke ist weiterhin vorhanden. ...
Kurz vor Weihnachten wurde ich auf eine höchst kritische Sicherheitslücke bei der Bundesagentur für Arbeit aufmerksam, welche im Blog von "sup3ria" beschrieben wurde. Dieser hatte die Schwachstelle bereits gemeldet, jedoch keinerlei Antwort erhalten. Nachdem ich die Angelegenheit überprüfen und auch bestätigen konnte, habe ich ebenfalls einen Hinweis an die Betreiber geschickt, sowie um dringende Kontaktaufnahme gebeten. Leider blieb meine Nachricht ebenfalls unbeantwortet.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde kurze Zeit später über die Problematik informiert. Zwar hat man dort in der Vergangenheit immer sehr schnell auf meine Nachrichten reagiert (es gab bereits öfter Sicherheitshinweise von mir an das BSI), jedoch blieb in diesem Fall eine Antwort aus. Die Sicherheitslücke ist leider weiterhin vorhanden. Ob man die Sicherheitswarnungen bewusst ignoriert oder einfach eine Rückmeldung versäumt hat, ist unklar. "Komisch" ist aber, dass eben selbst das BSI nicht auf das Thema reagiert hat, obwohl die Kommunikation zwischen Sicherheit-Online und dem BSI, zuvor eigentlich immer problemlos und schnell war.
Ich möchte an dieser Stelle eine öffentliche Bitte an die Bundesagentur für Arbeit aussprechen, die Schwachstelle zu beseitigen und die Sicherheit im Portal wiederherzustellen. Welcher Bereich von der Schwachstelle betroffen ist, möchte ich aus Sicherheitsgründen zunächst nicht öffentlich beschreiben. Ich weiß nicht, welche Daten auf dem Server gelagert werden, jedoch gehe ich davon aus, dass auch sensible Informationen über Bewerber und Unternehmen dort zu finden sein könnten. Natürlich stehe ich den Betreibern auf Wunsch auch gerne unterstützend zur Seite.
