Mobilfunk-Discounter Fyve und Blau mit Sicherheitslücken

Grafik von Artesia

Bereits im Juli dieses Jahres informierten wir die Betreiber von blau.de und fyve.de über eine Sicherheitslücke in der Suchfunktion ihrer Webanwendung. Darüber konnten Cyberkriminelle Schadsoftware verbreiten und den Inhalt von Cookies fremder Nutzer auslesen. Blau behob die Lücke im Zuge seines Updates Mitte August. Fyve ist derzeit noch immer mit der Behebung der Lücke beschäftigt.

Die Suchmaske beider Webseiten war anfällig für Cross-Site-Scripting-Angriffe. Darüber konnten beziehungsweise können Cyberkriminelle die Cookies anderer Besucher auslesen oder Schadsoftware über die gut besuchten Portale verbreiten. Je beliebter eine Webseite ist und je seriöser sie erscheint, desto attraktiver ist für Kriminelle die Verbreitung eigener Schadsoftware darüber. Die Sicherheitslücke war übrigens in beiden Fällen auch über die HTTPS-Version der Webseiten aktiv. Der gulli:board-User HerrMaulwurf hatte uns am 24. Juli die Lücken gemeldet, die uns der Penetrationstester Unnex sofort bestätigte. Die Bugs waren auf beiden Webseiten in vollem Umfang ausnutzbar.

Der Pressesprecher der blau Mobilfunk GmbH meldete sich nach Eingang unserer Nachricht umgehend bei uns und teilte der Redaktion mit, die Technik prüfe den Fehler, der unserem User aufgefallen war. Am 15. August teilte die blau Mobilfunk GmbH nach unserer Erinnerung mit, dass die IT-Kollegen den Fehler behoben hätten. Zur Verzögerung kam es nach eigenen Angaben, weil der Fix in das turnusmäßige Update der Webseite integriert wurde. Bei Fyve ging unsere Nachricht zunächst durch mehrere Abteilungen, bis sich einige Zeit später der zuständige Techniker der ProSiebenSat.1-Tochter meldete und uns schrieb, der Fehler sei für ihn nicht nachvollziehbar. Wir ermöglichten einen direkten Austausch zwischen Hinweisgeber und Techniker und hoffen, dass auch dort die Sicherheitslücke in der Suchfunktion möglichst zeitnah behoben wird.

Lars Sobiraj (g+) am Donnerstag, 06.09.2012 10:43 Uhr

Tags: xss fyve blau mobilfunk

Weitere interessante News

0 Reaktionen zu dieser Nachricht

weitere Kommentare lesen Nachricht kommentieren

Games [Teamspeak]

Teamspeak Server

Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?

Aktuelle gulli:Videos

Samsung Galaxy S4 Außenaufnahme

The Last of Us - Death & Choices Trailer

Shadow Warrior - Teaser Trailer

News [Interviews]

Interview mit dem Petitionsausschuss des Deutschen Bundestages

Lars Sobiraj am 14.05.2013, 13:52 Uhr

Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.

News [Kurioses]

Japaner erstellt seine Gemälde mit Microsoft Excel

Lars Sobiraj am 12.05.2013, 12:51 Uhr

Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.