[English]Bei der belgischen Tochter der spanischen Santander-Bank hat ein fehlkonfigurierter Webserver die Indizierung der gespeicherten Dateien ermöglicht. Bei der Inspektion dieser Daten sind Sicherheitsforscher von Cybernews auf sensitives Material in Form von SQL-Dumps und JSON-Dateien gestoßen. Ein API-Key hätte den Austausch bestimmter Dateien in einem CDN ermöglicht.
Anzeige
Die spanische Santander-Bank ist die fünft-größte Bank in Europa. Santander-Filialen gibt es in verschiedenen europäischen Ländern. Die multinationale Bank kontrolliert weltweit ein Gesamtvermögen von ca. 1,4 Billionen Dollar und hat eine Gesamtmarktkapitalisierung von 69,9 Milliarden Dollar im Euro Stoxx 50-Börsenindex. Und da gab es einen Sicherheitsvorfall, der wohl glimpflich ausging. Ich bin bereits Anfang der Woche per Mail auf den Vorfall aufmerksam gemacht worden. Cybernews hat diesen in einem Blog-Beitrag dokumentiert.
Fehlkonfigurierter Webserver in Belgien
Sicherheitsforscher von Cybernews sind bei ihrer Suche im Internet auf ein Datenleck der Santander-Bank in Belgien gestoßen. Die Analysten stellten fest, dass die belgische Filiale, die Santander Consumer Bank, eine Fehlkonfiguration in ihrer Blog-Domäne aufweist, die eine Indexierung ihrer Dateien ermöglichte.
Diese Gelegenheit haben die Sicherheitsforscher genutzt, um diese Dateien durch zu sehen. Dabei stießen sie auf sensible Informationen, darunter einen SQL-Dump und eine JSON-Datei. In diesen indizierten Dateien fand sich eine Datei info.json, die den Cloudfront-API-Schlüssel für diesen Santander-Blog enthielt.
Cloudfront ist ein Content Display Network (CDN) von Amazon. Websites verwenden CDNs, um große Dateien wie Videos, PDFs, große Bilder und andere statische Inhalte an Clients auszuliefern. Das soll verhindern, dass Websites verlangsamt werden.
Wer im Besitz der Cloudfront-API-Schlüssel von Santander ist, könnte den in der Cloudfront gehosteten Inhalt austauschen. Das reicht vom Austausch von Dokumenten (PDF etc.), in denen Kontonummern für Überweisungen angegeben sind bis hin zum Ersetzen einer Datei für einen Phishing-Auftritt. Letzteres ist besonders perfide, da die Phisher unter der offiziellen belgischen Domain von Santander operieren und dort unter einem Deep-Link z.B. Zugangsdaten etc. abfischen könnten.
Anzeige
Bank schließt Sicherheitslücke
Am 15. April informierten die Sicherheitsforscher den Webmaster der belgischen Santander-Website über die Fehlkonfiguration. Am 24. April gab es eine Rückantwort.
Der hervorgehobene Vorfall bezieht sich speziell nur auf den Blog der Santander Consumer Bank Belgien. Der Blog enthält nur öffentliche Informationen und Artikel, so dass keine Kundendaten oder kritische Informationen aus dem Blog kompromittiert wurden. Unser Sicherheitsteam hat das Problem bereits behoben, um die Sicherheit des Blogs zu gewährleisten.
Das Cyber-Sicherheitsteam von Santander vergaß nicht, folgendes hinzuzufügen: "Wir nehmen die Cybersicherheit ernst und bemühen uns, die höchsten Sicherheitsstandards und besten Praktiken aufrechtzuerhalten und begrüßen eine verantwortungsbewusste Offenlegungshaltung der Sicherheitsforscher".
Als die Sicherheitsforscher die Fehlkonfiguration am 27. April 2020 erneut überprüften, wurde der Zugriff erwartungsgemäß abgewiesen. Die Fehlkonfigurierung ist also beseitigt. Den Kunden von Santander sowie allen anderen Bankkunden empfehlen die Sicherheitsforscher, immer die Domain und Subdomain zu überprüfen, an in einer verdächtigen Mail (angeblich von der Bank) verlinkt wird. Nutzer sollten sich vergewissern, dass es sich bei der Domain um die echte Domain der Bank handelt und der Link auf die üblichen Anmeldeseiten für das Login verweist. Eine Bank wird wichtige Anfragen zu Finanzinformationen niemals auf der Subdomain des eigenen Webauftritts hosten – das sollte dann ein Alarmsignal sein.
Anzeige
