Anfang März 2022 landete dann eine Mail mit einem Hinweis in unserem Investigativ-Briefkasten (zu erreichen über heise.de/investigativ [1]). Der aufmerksame Leser hatte entdeckt, dass sich der Webserver auf dem Pfad /data übermäßig geschwätzig zeigte: Aktiviert war das sogenannte Directory Listing, das fast alle Webserver eingebaut haben. Ist es eingeschaltet, generiert der Server für jeden Ordner, der keine Index-Webseite enthält, eine Übersichtsseite mit allen darin befindlichen Dateien und Ordnern, die man darüber per Klick bequem herunterladen kann. Gedacht ist das eher für die Entwicklungsphase, in fertigen Anwendungen hat diese Seite nichts verloren.

Wir schauten uns die URL an und konnten uns ein Bild vom Ausmaß des Problems machen. Einen Passwortschutz gab es nicht, alle Ordner mit allen Daten waren direkt einsehbar. Neben Dateien mit kryptischen Namen stach sofort die Datei meldeamt.dbf (letzte Änderung am 8.3.2022, dem Tag unseres Abrufs) ins Auge, die 8,4 MByte groß war. dbf-Dateien gehören zum antiquierten Datenbanksystem dBASE II, das in den 1980ern auf den Markt kam. Öffnen kann man die dbf-Dateien, die jeweils eine Datenbanktabelle enthalten, heute am schnellsten mit der Tabellenkalkulation Calc aus der LibreOffice-Programmfamilie.