Tim Pritlove
👤 SpeakerAppearances Over Time
Podcast Appearances
Man muss halt priorisieren.
Du hast in einer ausreichend großen Infrastruktur zu viele Angriffe.
Und ich habe keine Ahnung, wie groß die IT der Lufthansa ist, aber ich würde vermuten, eine Airline, die in weit über 100 Länder fliegt, hat eine relativ große IT.
Und wenn da auf einmal die Polizei vor der Tür steht und sagt, ihr PLM, dann sagen die, welches der 20 PLM denn?
Ja, die Polizei, dein Freund und Patcher.
Okay, wir machen noch, ich glaube, wir haben ja noch ein Thema.
Ja, haben wir noch eins und zwar, der CCC hat mal wieder ein Datenleck gemeldet.
Das wäre auch zum Beispiel sowas, was man, also das wäre auch so ein Fall für könnte man mal was machen.
Die Plattform Advocado, jetzt weiß man immer nicht, ist das ein Advokat oder Avocado, ist das ein Wortspiel, die betreiben irgendwie so Webservices und hatten da eine,
Ein Debug-Tool laufen, also das Symphony-Framework ist ein PHP-Framework, wo du debuggen kannst und das ist auch ein Gift that keeps on giving, denn das kann man installieren.
ohne Zugriffsschutz.
Dann hast du halt ein offenes Debug-Werkzeug, kannst in dem Fall interne Serverparameter sehen, darunter dann eben gültigen Zugang zu einem Git-Repository, in dem Quellcode steht und in dem Quellcode stehen dann auch die hartgecodeten Zugangsdaten, unter anderem in dem Fall für einen Faxdienst, ist ja ein Anwalts-Tool, Anwälte schreiben ja Faxe.
Zahlungsdienstleister und ein Amazon S3 Bucket und auf dem S3 Bucket lagen dann zahlreiche hochgeladene Dokumente, Ausweiskopien, Inkassoschreiben, Rechnungen von Kanzleien und den Dokumenten von Gerichten, Bild- und Tonaufzeichnungen von Gesprächen, was halt so Anwaltskanzleien über ihre unterschiedlichen Plattformen hochladen.
So ein Symphony findet man schnell, kann man gut nutzen.
Entsprechend schließt die Meldung auch, dass Framework Symphony könnte auch mehr dafür tun, das versehentliche Exponieren des Profilers zu erschweren.
Etwa durch eine verpflichtende Authentifizierung.
Also dass das Ding sogar überhaupt ohne Authentifizierung gibt und dass es dann am Ende da irgendwo landet.
Ist natürlich sehr bitter.