Börsenportal wallstreet:online ignoriert Hinweis
sToRm 
Die wallstreet:online AG - Betreiber des Börsenportals wallstreet-online.de - wurden vor etwa einem Monat auf potentielle Schwachstellen innerhalb des Webangebots wallstreet-online.de hingewiesen. Die Schwachstellen würden einem Angreifer gezielte Phishing-Angriffe, eine Weiterleitung auf schädliche Webseiten oder auch die Verbreitung von Malware ermöglichen. Verantwortlich für die Schwachstellen, sind diverse, ungefilterte Parameter, die eine Manipulation der Website ermöglichen. ...
Seit etwa einem Monat warten wir nun auf eine Reaktion der Betreiber, welche bisher leider ausblieb. Wir möchten daher einen öffentlichen Hinweis und eine Warnung an die Benutzer der Website wallstreet-online.de aussprechen. Links, die auf das Internetportal zielen sollten bis zur Beseitigung der Schwachstellen gemieden werden, da ein einziger Klick auf einen präparierten Link bereits schwere Folgen haben könnte. Zudem sollten Sie Erweiterungen für Ihren Webbrowser - wie zum Beispiel "NoScript" - nutzen. Zudem sollten Sie das Portal immer über die direkte Eingabe der Adresse aufrufen.
Wir bitten die verantwortlichen Betreiber um Kontaktaufnahme und stehen natürlich für Rückfragen zur Verfügung. Die Demonstration für eine der entdeckten Schwachstellen erhalten Sie hier: Rick Astley - übernehmen Sie! http://tinyurl.com/SOwallstreetonline1 Weitere Schwachstellen möchten wir aus Sicherheitsgründen vorerst nicht veröffentlichen. Dieser Beitrag soll eine aufklärende und informative Quelle darstellen. Die Nutzer sollten stets über mögliche Gefahren informiert sein.
Update 05.12.2011:
Knapp 4 Monate ist es nun her, dass Sicherheit-Online versucht hat, Kontakt mit den Betreibern aufzunehmen. Seit fast 3 Monaten ist dieser Beitrag hier online. Aber leider hat es wallstreet:online bis zum heutigen Tag nicht geschafft, auf die Meldung zu antworten. Statt Kontakt aufzunehmen und weitere Details zu den Schwachstellen zu erhalten, hat man die bereits veröffentlichte Schwachstelle mal eben heimlich, still und leise beseitigt. Weder eine Kontaktaufnahme, noch ein einfaches "Danke für den Hinweis". Nein, bei wallstreet:online ist die Sicherheit der eigenen Nutzer und Besucher wohl eher zweitrangig. Die Schwachstellen sind weiterhin offen, aber uns vergeht hier so langsam die Lust den Leuten nachzulaufen. Also warten wir wieder ab, so lange bis es kracht. Schade.
