Zahlreiche Gemeinden in Bulgarien dürften vor einem Problem stehen. Eine von ihnen eingesetzte Software ist anfällig für einen Angriff, der es erlaubt, eine staatliche Datenbank anzuzapfen. Herausgefunden hat das der IT-Experte Petko Petkov.

Wie er in einem Facebook-Video demonstriert, funktioniert sein Angriff über das Online-Anmeldeformular für Kindergärten. Es gelang ihm damit, die Datensätze von über 235.000 Bürgern des Verwaltungsgebietes (Oblast) Stara Sagora anzuzapfen, in der insgesamt rund 333.000 Menschen leben.

Keine Reaktion von Hersteller und Behörden

Nach eigener Auskunft hatte er mehrfach versucht, den Hersteller der Software – Information Services AD -, als auch die Behörden zu kontaktieren. Da er aber keinerlei Antwort auf seine Meldungen erhielt und die Lücke nicht beseitigt worden war, machte er schließlich die Schwachstelle öffentlich und stellte einen Exploit auf der Codehosting-Plattform Github bereit.

Darauf reagierten die Behörden dann allerdings doch. Petkov wurde festgenommen und für 24 Stunden inhaftiert. Seitdem befindet er sich wieder auf freiem Fuß, berichtet ZDNet. Ihm droht eine Geldstrafe von umgerechnet 2.560 Euro. Zudem könnte er auch ein bis drei Jahre Haft ausfassen. Vorgeworfen wird ihm die Beschaffung von Regierungsinformationen mit illegalen Mitteln. Im Moment ist noch nicht klar, ob es zu einer Anklage kommen wird.

Auch andernorts in Verwendung

Shifko Todorow, Bürgermeister der gleichnamigen Stadt Stara Sagora, erklärte zum Vorfall, dass Information Services für die Kosten der Beseitigung der Schwachstelle aufzukommen habe. Das Unternehmen hat bislang allerdings auf Anfragen von Vertretern der Stadt nicht reagiert. Das betroffene System wurde von der Stadtverwaltung vom Netz genommen.

Laut Petkov ist die gleiche Software auch noch in anderen Provinzen im Einsatz. Dementsprechend könnten sie auch von dort auf die staatliche GRAO-Datenbank zugreifen. Diese enthält zahlreiche Informationen über lebende und verstorbene Bürger, darunter Name, Adresse, Heiratsstatus, Passdaten oder Angaben zu nahen Verwandten. (red, 06.07.2019)