kabeleins.de & sat1.de: Sicherheitslücken mit Hilfe von gulli.com geschlossen

sat1.de gulli protected. Grafik von L3w3x & Artesia

Der Hacker Padrino war wieder aktiv. Dieses Mal war die Website der privaten Fernsehsender SAT.1 und Kabel eins an der Reihe. Beim Besuch der Portale fielen einige schwerwiegende Sicherheitsmängel auf, die aber zwischenzeitlich alle beseitigt wurden. Betreiber beider Seiten ist die SevenOne Intermedia GmbH, die auch die TV-Sender ProSieben, N24, sixx und 9Live verantwortet.

So war auf manchen Seiten mit Hilfe der Angriffstechnik "Cross-Site Scripting" (XSS) ein Identitätsdiebstahl möglich. Vor einer Mitteilung der Redaktion von gulli.com am 14. Februar war es kundigen Anwendern möglich, das Session-Cookie eines anderen Besuchers zu erlangen, um sich als diese Person einzuloggen. Per Remote File Inclusion war es bis vor kurzem auch möglich, PHP-Code per Logfile einzulesen. Demnach hätten Dritte den Server übernehmen und selbst verwalten können. Mithilfe der SQL-Injection konnte man sich zudem Zugriff auf die Datenbank der Website verschaffen und nach Bedarf sensible Daten auslesen, eigene Daten hochladen, bestehende Einträge verändern et cetera.

Ohne das dafür nötige technische Wissen wäre eine Ausnutzung der Bugs natürlich nicht gelungen. Reguläre Besucher des Portals können derartige Schwachstellen nicht zum eigenen Vorteil ausnutzen. Andererseits bekommen sie aber auch nichts von deren Existenz mit. Dazu kommt die strafrechtliche Komponente (§ 202a bis c, StGB), sollte jemand mit Absicht nach Fehlern in Webanwendungen suchen, um davon zum eigenen Vorteil bösartig Gebrauch zu machen.

Nach unserer Mitteilung über das Kontaktformular bekamen wir nach wenigen Tagen einen direkten Kontakt zum Leiter der Technik von SevenOne Intermedia. Die beiden Hacker Padrino und Unnex gaben am Sonntag bekannt, alle Lücken bei sat1.de und kabeleins.de seien jetzt dicht, was auch der Leiter der Technik gestern telefonisch bestätigte. Einer Veröffentlichung des Artikels steht von daher nichts mehr im Weg.

Update: Die Betreiber der Webseite baten noch um einen Einschub im Artikel: "Sensible Nutzerdaten waren allerdings zu keiner Zeit in Gefahr, da diese nicht auf den betroffenen Systemen gespeichert werden."

Lars Sobiraj am Dienstag, 12.04.2011 14:42 Uhr

tags Tags: hackerparagraf fernsehsender webanwendungen sat1 sevenone intermedia

Weitere interessante News

47 Reaktionen zu dieser Nachricht

Ghandy am 18.04.2011 14:35:29

Ich finde den Vorschlag von Krutius recht interessant. Ja, werde das beim nächsten Mal beherzige ...
Atraxia am 14.04.2011 14:37:18

Die Öffentlich-rechtlichen sind also die Oberschicht? Oo Oh Gott... Klar wusstet du das noch nicht? Sagen doch diese Bildleser ähm hochqualifizierten Firmen und Bankenchefs hier immer :rolleyes: @Missy Ist das das neue Wort für Senioren? Ja v ...
MissRaten am 14.04.2011 14:18:26

Ich finde den Vorschlag von Krutius recht interessant. ...
Ghandy am 14.04.2011 11:57:10

Man hat doch mit völlig unterschiedlichen Unternehmen zu tun. ICQ hat inhaltlich nichts mit PayPal und die wiederum nichts mit RTL, SAT.1 oder Kabel Eins gemeinsam. Einen Deal gibt es auch nicht. Lediglich die Zusicherung keine Details preiszugeben, so lange die Arbeiten am Bugfix andauern. Wenn si ...
copy_x am 14.04.2011 10:32:08

Es gibt also keine konstruktiven Vorschläge. Gut zu wissen. Ich würde sowas ganz weglassen, verschreckt nur die User. Die müssen doch denken, dass ihr nen Deal mit der Contentindustrie habt. ...

weitere Kommentare lesen Nachricht kommentieren

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...