Das Programm PHP File Manager kostet nur 5 Dollar. Man installiert es auf seinem Internetserver und kann danach Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Weil es so bequem ist, nutzen auch viele große Unternehmen das Tool: Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern jedermann seitdem vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern offenbar seit mindestens fünf Jahren kritische Sicherheitslücken, die der Hersteller kennt, aber nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog aufmerksam. So soll es durch zwei Lücken möglich sein, durch das Skript ohne Authentifizierung Code auf den Server zu laden und potenziell auszuführen.

Das Schärfste daran ist aber ein Superuser mit der sinnigen Bezeichnung  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen das gleiche Passwort nutzt. Und das ist gleich als MD5-Hash im Script angegeben – kein Problem für den versierten Informatiker oder Hacker.

Der Hersteller Revivedwire hat das Programm inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken währe nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die immerhin Geld für das Programm bezahlt haben – auch wenn es nur 5 Dollar waren!