Fixday bei Bild.de, ARD, WDR, SWR, foodwatch.de ...

Wie die Kollegen bei "gulli" bereits berichtet haben, wurden in den vergangenen Tagen diverse Schwachstellen bei einigen Betreibern gemeldet. Wir haben Hinweise erhalten und die entsprechenden Seiten auf deren Anfälligkeit überprüft. Die bestätigten Schwachstellen wurden von uns anschließend den jeweiligen Betreibern mitgeteilt. Bild.de und die öffentlichen Medien ARD, WDR und SWR haben sehr schnell reagiert. Nach dem Übersenden der Details zu den Schwachstellen konnten diese anschließend sehr schnell behoben werden. ...

Als Demonstration der Schwachstellen haben wir uns in diesen Fällen "Nyan Cat" zu Nutze gemacht. Das fröhliche Kätzchen, welches einen bunten Regenbogen hinter sich herzieht, war auf den betroffenen Seiten als Video und zum Teil als Flashgame integriert. So konnte man demonstrieren, dass jegliche Art von Code bzw. externe Inhalte in die jeweiligen Seiten eingeschleust werden konnten. So hätte ein Angreifer auch eine "XSS Shell" nutzen können, um die Benutzereingaben und Informationen des Webbrowsers auszuspähen. Ein Besucher hätte hierfür auf einen speziell präparierten Link klicken müssen, was aber angesichts der sozialen Netzwerke und Diensten wie Twitter kein Problem für einen Angreifer darstellen sollte.

Auch foodwatch.de hat nun - nach der Berichterstattung durch "gulli" und einem recht aufschlussreichen Video (von uns) bei Youtube - auf die Hinweise reagiert und konnte die genannten Schwachstellen bereits beseitigen. Man hat uns auch eine Email zugesandt, in der man uns für die Berichterstattung schon fast verurteilt hatte. Mehr dazu wird es aber in einem Update bei dem dazugehörigen Beitrag geben.

Wir möchten an dieser Stelle auch einen Dank an "Ghandy" (gulli.com) aussprechen, der uns die Hinweise bezüglich verschiedener Schwachstellen hat zukommen lassen, so dass wir reagieren und die Betreiber ausführlich informieren konnten. Auch den Findern sei an dieser Stelle ein Dank für die Aufmerksamkeit ausgesprochen. Gerne können sich diese in Zukunft auch direkt bei uns melden und die Problemfälle mitteilen, so dass wir ebenfalls direkt mit den Betreibern in Kontakt treten können.

Weitere, entdeckte Schwachstellen bei anderen Betreibern konnten bisher nicht geschlossen werden. Die Problemfälle wurden zwar bei den Zuständigen gemeldet, aber eine Kontaktaufnahme war leider bisher nicht festzustellen. Wir möchten aber den Betreibern noch ausreichend Zeit für die Beseitigung lassen, ehe man öffentlich darüber berichtet. Die Sicherheit der Nutzer geht vor.

Wieder hat sich das ehrenamtliche Engagement gelohnt. Da geht man doch zufrieden ins Wochenende über.
Und "Nyan Cat" hatte auch ihren Spaß. :-)