Informierte Stellen: 3pc GmbH Neue Kommunikation, Berliner Beauftragte für Datenschutz und Informationsfreiheit und das CERT Bund (alle 26.06.2023)

Eine offen zugängliche Log-Datei eines Ticketsystems enthielt Zugangsdaten im Klartext. Diese erlaubten (bzw. erlauben weiterhin) den Zugriff auf u.a. Portale von

• 50 Hertz
• Bundesarchiv Stasi-Unterlagen-Archiv
• Hessische Landeszentrale für politische Bildung
• Immanuel Albertinen Diakonie
• Klassik Stiftung Weimar
• Museum Köln
• Museumsportal Berlin
• Oper Frankfurt
• Universität der Künste Berlin

Auch die Datenbank-Zugangsdaten des Ticketsystems waren offen einsehbar.

Über eine SQL-Injection gelang der Zugriff auf weitere Klartext-Zugangsdaten. In der Folge konnte auch auf Quellcode sowie auf Kommunikation zu IFG-Anfragen zugegriffen werden.

Die Anwendung "Bildungsfreistellung Online" war ebenfalls für eine SQL-Injection anfällig. Ca. 58.000 Anträge nach dem Bildungsfreistellungsgesetz Rheinland-Pfalz konnten eingesehen werden, darunter frühere Anträge des Chaos Computer Clubs. Wir haben darauf verzichtet, selbst einen Antrag zur Bildungsfreistellung des 37C3s als genehmigt zu markieren.

Die Anwendung wird auch in anderen Bundesländern genutzt.