“Das Internet vergisst nichts”. Man hat es oft gehört aber vermutlich selten wirklich beachtet.
Wie nachhaltig Dokumente die ins Internet gestellt wurden erhalten bleiben, zeigt ein Beispiel des Bundeslandes Rheinland-Pfalz. Hier fand man es wäre eine gute Idee Zugangsdaten zur Portalen der Landes-Impfplanung mittels Excel Dokument im “Fileadmin” Ordner des Web-CMS öffentlich abzulegen. Upload-Funktionen sind ja so bequem! And what can go wrong?
Was man jedoch nicht berücksichtigt hat: Google indiziert natürlich auch diese Files. So kam es, dass ein Security Researcher (😎), neugierig was unsere Behörden so alles anstellen, sich in die Google Untiefen begab um nach Interna zu Impfzentren zu suchen.
Die Suche dauerte nicht lange und Google spuckte eben dieses Excel File aus:
Zwar war das eigentliche File leider nicht mehr dort abgelegt, die Inhalten waren aber noch immer im Google Cache 😲
Das Ende vom Lied:
- geleakte, gültige Passwörter zu einer Vielzahl von Diensten
- geleakte Kontaktdaten von internen Stellen
- geleakte private Kontaktinformationen von Personen mit Bezug zur Impfplanung
Das CERT-BUND wurde am 23.04.2021 über diesen Leak informiert, am 10.05.2021 wurde gemeldet, dass die Informationen im Cache nicht mehr verfügbar sind und alle Zugangsdaten geändert wurden. Was aber im ersten Versuch nicht gelöscht wurde war die ebenfalls durch Google gecachte Web-Version der genau gleichen Informationen. 😭
Das CERT-BUND hat diese Information ebenfalls ans CERT-RLP weitergeleitet, wenige Tage später war auch dieser Cache Eintrag nicht mehr verfügbar.
Dem Zeitstempel nach war die Datei wenige Tage vor meiner Entdeckung dort abgelegt worden. Wie lange sie dort lag bis die von Google indiziert und im Cache gespeichert wurde ist nicht bekannt.
Fazit: Das Internet vergisst nichts…
Dank gilt dem CERT-BUND für seine wie immer sehr professionelle Unterstützung 👍🏼
“The Internet never forgets”. You’ve heard it often but probably rarely really heeded.
An example from the German federal state of Rhineland-Palatinate shows how sustainably documents that have been placed on the Internet are preserved. The responsible thought it would be a good idea to store passwords to the web-portals for the state vaccination plans in an Excel in the “Fileadmin” folder of the Web CMS. Upload functions are so convenient! And what can go wrong?
But what they had not taken into their consideration: Google of course also indexes these files. So it happened that a security researcher (😎), curious about what the local authorities carrying out, went into the depths of Google to find internal information about vaccination centers.
It didn’t take long and Google displayed exactly this Excel file:
However the file has already been deleted from this path, the contents were still in the Google caches 😲
The end of the story:
- leaked, valid passwords to a bunch of related services
- leaked contact information of internal contacts
- leaked private contact information of people related to the vaccination planning
The German CERT-BUND was informed about the leak on April 4th, 2021, on May 10th, 2021, they replied that the information in the cache is no longer available and all credentials have been changed. What was not removed in the first attempt, however, was the web version of the exact same information, also cached by Google. 😭
The CERT-BUND also forwarded this information to the CERT of Rhineland-Palatinate (CERT-RLP), and a few days later this cache entry was also removed.
According to the timestamp, the file had been placed a few days before I discovered it. How long it was there until it was indexed and cached by Google is not known.
Conclusion: The Internet forgets nothing…
Many thanks to the CERT-BUND for their always professional support 👍🏼