Kritische Sicherheitslücke bei RTL beseitigt
sToRm 
Vor wenigen Tagen habe ich RTL über eine kritische Sicherheitslücke innerhalb des Internetportals unter rtl.de informiert (Bericht bei gulli). Der Grund für meinen „Einsatz“ bei RTL war ein – zuvor leider erfolgloser – Versuch vom Kollegen „gehaxelt„, die Betreiber auf das Sicherheitsleck aufmerksam zu machen. Die Sicherheitslücke befand sich in einem Testbereich bzw. bei einer veralteten Anwendung des Webportals und ermöglichte einem Angreifer den Zugriff auf eine der Datenbanken des TV-Senders. …
Mich erreichte eine Mail von „gehaxelt“ mit dem Hinweis, dass RTL eine kritische Sicherheitslücke auf deren Webpräsenz ignoriert. Nach einem kurzen Austausch habe ich die Sache auf die ToDo-Liste gesetzt und wollte mir das Ganze einmal genauer ansehen. Nach einer eigenen Überprüfung der Schwachstelle, konnte ich die Problematik bestätigen und habe umgehend die Betreiber über das Sicherheitsproblem informiert. Da Hinweise per Mail zuvor unbeantwortet blieben, wollte ich mich per Telefon, direkt an den Zuständigen weiterleiten lassen. Nach gefühlten 100 Warteschleifen und ebenso vielen Erklärungen gegenüber der Gesprächspartner, warum ich denn nun überhaupt anrufe, teilte man mir die Durchwahl zu Herrn Jacoby – dem Leiter der IT-Abteilung – mit.
Bei einem recht angenehmen und informativen Telefongespräch, habe ich die Problematik erklärt und die Sicherheitslücke direkt am Telefon demonstriert. Zunächst wollte man nicht glauben, dass ein Angriff bzw. ein Eindringen in die Datenbank durch die genannte Schwachstelle möglich sei. Mit Einverständnis meines Gesprächspartners, konnte ich dies allerdings schnell aus der Welt schaffen. Binnen weniger Sekunden hatte ich Zugriff auf die Datenbank und konnte Informationen zum Inhalt mitteilen. Man erkannte den Fehler und sagte mir, dass man die Problematik in der nächsten Stunde beseitigen wird.
Laut Herrn Jacoby war es wohl ein internes Problem mit der Kommunikation. Die Informationen des Hinweisgebers haben die IT-Abteilung offensichtlich nicht erreicht. Leider ist dies gerade bei größeren Unternehmen recht häufig der Fall. Dies musste ich selbst schon in unzähligen Fällen feststellen. Die Schwachstelle wurde aber – wie am Telefon zugesagt – binnen kürzester Zeit beseitigt. Man hat sich mehrfach für die Information und das Engagement bedankt.
