Beim Berliner Roten Kreuz sind sensible Informationen wie Passwörter und interne Kommunikation für jedermann im Internet einsehbar gewesen.
Das Cybernews-Rechercheteam deckte eine Fehlkonfiguration in den Systemen des Bezirksverbands Berlin-Nordost auf, die einen uneingeschränkten Zugriff auf Daten der Organisation ermöglichte.
Die durchgesickerten Daten umfassten unter anderem Mitarbeiter-E-Mails, Passwörter im Klartext sowie vertrauliche interne Nachrichten. In manchen Fällen wurden darin brisante Details wie Zugangscodes, Schlüsselaufbewahrungsorte und “sicherheitsrelevante Problemstellen” in Einrichtungen des Roten Kreuzes offenbart.
Besonders alarmierend sind die geleakten Login-Daten, da sie für Credential-Stuffing-Angriffe auf weitere Systeme des Berliner sowie gesamtdeutschen Roten Kreuzes genutzt werden könnten. Dort werden möglicherweise persönliche Daten von Hilfsempfängern, Mitarbeitern, Ehrenamtlichen und Spendern verarbeitet.
Die Forscher fanden außerdem Hinweise auf automatisierte Versuche durch Schadsoftware wie Androxgh0st und Legion, die Anmeldeinformationen auszulesen. Obwohl keine Beweise für einen erfolgreichen Angriff vorliegen, ist die schlichte Tatsache, dass die Systeme öffentlich zugänglich waren und ins Visier gerieten, ein Sicherheitsdesaster.
Die Panne wurde durch ein aktives und öffentlich erreichbares Symfony-Profiler-Tool auf der Roten Kreuz-Website verursacht. Symfony ist ein leistungsstarkes PHP-Framework und dient Entwicklern normalerweise zur Fehlersuche und Performance-Optimierung in der Test- und Entwicklungsphase. Sie erfassen jedoch eine Vielzahl sensibler Laufzeitdaten wie Datenbankabfragen, Formulareingaben und eben auch Anmeldeinformationen, die nicht öffentlich einsehbar sein sollten. Das Cybernews-Team rät dringend, solche Profiler in Produktionsumgebungen zu deaktivieren.
Der Berliner Bezirksverband Nordost ist Teil des Berliner Roten Kreuzes mit acht Kreisverbänden. Er beschäftigt über 100 Mitarbeiter, hat 10.000 Mitglieder und 400 Freiwillige, die ein breites Angebot von Familienberatung über Erste-Hilfe-Kurse bis zur Obdachlosenhilfe leisten. Cybernews informierte das Rote Kreuz, woraufhin der ungesicherte Zugriff geschlossen wurde. Die Daten waren jedoch seit September 2022 frei verfügbar. Eine offizielle Stellungnahme steht noch aus.