Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.
Roos Consult zeichnet “Hamburgs beste Arbeitgeber” aus. Dazu werden Mitarbeitende befragt. Die Teilnahme soll anonym möglich sein. In der Datenschutzerklärung heißt es:
Die Befragung erfolgt anonym, d.h. einzelnen Antworten können keine konkreten Personen zugeordnet werden.
Wir sichern Ihnen zu, dass selbstverständlich Ihre Anonymität gewährleistet ist. Nach Registrierung der Antworten werden diese umgehend elektronisch erfasst, verarbeitet und weiter anonymisiert. Nach Abschluss der Untersuchungen werden die Daten gelöscht.
Möglicherweise war die Befragung dann aber weniger anonym.
- Unter https://self-bf.de/.git/ lag 2024 Quellcode.
- Das Skript
core/funcs.phpenthielt Datenbank-Zugangsdaten:
$servername = "localhost";
$username = "██████";
$password = "███████████████████████████";
$dbname = "██████";- Über ein PhpMyAdmin unter http://█.█.█.█/phpmyadmin/ konnte auf die Datenbank zugegriffen werden.
Dort konnten dann die Antworten befragter Personen, deren TANs oder an diese versandte E-Mails sowie Passwörter, z.T. im Klartext, von Admin-Accounts eingesehen werden.
