Tag der offenen Tür bei der DuMont Mediengruppe [Updates]

Die DuMont Mediengruppe, deren Kerngeschäft nach eigener Darstellung »Qualitätsjournalismus für Tageszeitungen und deren digitale Angebote« ist, hat in der Nacht zum Sonntag einen seiner ihrer internen Server für die Öffentlichkeit geöffnet.

DuMont ist in Köln Herausgeber des Kölner Stadt-Anzeiger, der Kölnischen Rundschau und des EXPRESS. In Halle (Saale) erscheint die Mitteldeutsche Zeitung, in Berlin die Berliner Zeitung, der Berliner Kurier und das Berliner Abendblatt, in Hamburg die Hamburger Morgenpost.

Internet-Nutzern war aufgefallen, dass einige Nachrichtenseiten der Mediengruppe nicht verfügbar waren. Beim Kurznachrichtendienst Twitter erschien kurz darauf ein Link, der auf den frei zugänglichen Server zeigte. So konnte jeder, der diesem Link folgte, den Inhalt des Servers einsehen, da beim verwendeten Webserver Apache das Directory Listing nicht ausgestellt ist. Und dieser Inhalt hat es durchaus in sich.

Wurzelverzeichnis des DuMont-Servers (Screenshot).

So wurden offenbar von dieser Maschine aus die Webseiten der Zeitungen der Mediengruppe bedient. Es finden sich die Quelldateien des verwendeten Content Management Sytems Perch, inklusive des hardcodierten Lizenzschlüssels und der Datenbank-Zugangsdaten. Desweiteren sind die Logdateien der Zugriffe von Subskriptionskunden ebenso frei verfügbar, wie ihre im Klartext abgespeicherten Passwörter, Klarnamen, E-Mail-Adressen, sowie das Zugriffsdatum.

Ordner mit Studienbescheinigungen (Screenshot).

 

Perch Config-Datei (Screenshot).Darüberhinaus fanden sich etwa 250 Scans der Studienbescheinigungen von Studierenden, die diese dem Kölner Stadtanzeiger geschickt hatten. Die neueste datiert auf den 11. Januar 2016.

Warum der Server öffentlich erreichbar ist, ist bislang noch nicht geklärt. Auffällig ist jedoch, dass auch Stunden nach Bekanntwerden des Lecks dieser Zustand nicht geändert wurde. Zur Zeit der Veröffentlichung dieses Textes (06:50, 10.04.2016) ist der Server nach wie vor erreichbar.

In Fragen der IT-Sicherheit steht die Verlagsbranche der Briefkastenfirmen-Branche jedenfalls in nichts nach. Jeder Abonnent einer Publikation der DuMont Mediengruppe sollte jetzt schleunigst sein Passwort ändern, also, nachdem die Seiten wieder online sind.


Update, 10.04.2016, 19:14: In einer Pressemitteilung nimmt DuMont nun Stellung: Man sei Opfer eines Hackerangriffs geworden, »möglicherweise hatten [...] Dritte in der Nacht kurzzeitig Zugriff auf Daten«. Alle Passwörter seien gesperrt und zurückgesetzt worden, eine »Sicherheitslücke« wurde geschlossen. Eine Antwort auf die Frage, warum Kundenpasswörter unverschlüsselt in Textdateien auf ihrem Server liegen, gab DuMont in der Mitteilung jedoch nicht.

Update, 12.04.2016: In einer weiteren Pressemitteilung vom 11.04.2016 ist nicht mehr von einem Hackerangriff die Rede. Stattdessen schreibt die DuMont Mediengruppe von einer »Sicherheitslücke auf einem Server« bzw. einer »technischen Panne«, die Daten für Außenstehende für »einen kurzen Zeitraum«,  jedoch »nur bei gezielter Suche nach Sicherheitslücken«, sichtbar gemacht habe.

Laut Angaben der Tageszeitung »Die Welt« war der Server allerdings noch bis um etwa 09:00 Uhr erreichbar, was bedeutet, dass dieser »kurze Zeitraum«, nachdem der URL zum betreffenden Server um etwa 02:30 Uhr über Twitter verbreitet wurde, mindestens sechseinhalb Stunden betrug. Das Unternehmen hat ausserdem Anzeige erstattet und die zuständigen Behörden informiert. Die Landesdatenschutzbeauftragte für NRW hat nun Ermittlungen aufgenommen und prüft, ob DuMont gegen die Informationspflicht verstoßen hat.