Geknackter Healthcare.gov Testserver nutzte immer noch das Standardpasswort
Das US-amerikanische Department of Homeland Security fand in einer Untersuchung zu einem Cyber-Einbruch bei einem Healthcare.gov Server heraus, dass dieser damals noch über das Standardpasswort zugänglich war. Der Vorfall fand im Juli dieses Jahres statt, wurde aber erst im September weitergemeldet.
Bei dem Cybereinbruch installierten die Angreifer Malware auf einem Server, auf dem Code für die Obamacare-Webseite getestet werden sollte.
Ann Barron-DiCamillo, Managerin des CERT (Computer Emergency Readiness Team):
„Einfach ausgedrückt versuchten sie, einen Knotenpunkt in einem Botnet für Denial-of-Service-Attacken einzurichten. Es handelte sich um einen Testserver, der in der Standardkonfiguration benutzt wurde. Das heißt, das Standardpasswort wurde noch nicht geändert.“
Barron-DiCamillo zufolge sollte der Vorfall nicht den Healthcare.gov Server selbst kompromittieren. Vielmehr sollten die Ressourcen des Servers dazu genutzt werden, andere Webseiten in ihrem Betrieb zu stören. Solche Attacken sind „weit verbreitet“, so Barron-DiCamillo. „Weltweit kommen sie täglich vor.“
Die Hacker entwendeten weder Daten von dem Server noch seien persönlichen Informationen kompromittiert. Dies schreibt Barron-DiCamillo der „Segmentierung des Netzwerkes“ zu:
„Hier handelte es sich um ein Testnetzwerk, welches von dem Hauptnetzwerk getrennt lief. Es gab keine lateralen Auswirkungen auf das Hauptnetzwerk durch diese Aktivität.“
Schwache Passwörter stellen aber bereits seit dem Start der Healthcare.gov Webseite eine Schwachstelle dar, so ein Bericht des Government Accountability Offices (GAO). Greg Wilshusen von GAO verweigerte allerdings weitere Auskünfte in Bezug auf das Passwort in diesem Fall, um das System nicht weiteren Risiken auszusetzen.
Einem Sprecher zufolge wurden die übrigen Passwörter auf dem Server inzwischen überprüft:
„Nachdem wir den Vorfall abgeschlossen hatten, überprüften wir alle mit dem Internet verbundenen Geräte – einschließlich aller Testserver – in der gesamten Behörde.“
Artikel von nextgov.com, 18.09.2014: Breached HealthCare.gov Server Still Had Default Password