FOCUS Online Partner beseitigt Sicherheitslücke

FOCUS Online Partner beseitigt Sicherheitslücke

Vor wenigen Tagen haben wir einen anonymen Hinweis auf eine sehr kritische Schwachstelle innerhalb des FOCUS Online Internetportals erhalten. Durch eine kurze Überprüfung der genannten Problemstelle, konnten wir die Sicherheitslücke bestätigen und diese als "kritisch" einstufen. Wir haben die Betreiber natürlich sofort über die SQLi Schwachstelle informiert und relativ schnell eine positive Antwort erhalten. Es handelte sich laut FOCUS Online, um eine "Partnerintegration" (ähnlich wie im Fall "Welt Online"), welche von der Schwachstelle betroffen war. Die zuständigen Betreiber wurden umgehend informiert und die Sicherheitslücke wurde bereits nach wenigen Stunden geschlossen. ...

Unter der Subdomain "rehakliniken.focus.de" hätte ein Angreifer die Möglichkeit gehabt, durch eine SQL Injection die Informationen bzw. Inhalte aus der Datenbank auszulesen. Auf welche Datenbank der Zugriff möglich gewesen wäre und welche Informationen dort gespeichert sind/waren, ist leider unbekannt. Da es sich aber um ein Partnerangebot von FOCUS Online handelt, gehen wir davon aus, dass es sich um eine gesonderte Datenbank handelte und Kunden- bzw. Benutzerdaten von FOCUS Online nicht betroffen waren. Ob ein Angreifer die Schwachstelle erfolgreich ausnutzen konnte, ist ebenfalls nicht bekannt. 

Sehr positiv erschien uns die relativ schnelle und sehr freundliche Reaktion von FOCUS Online. Man hat unseren Hinweis sofort ernstgenommen und sehr vorbildlich reagiert. Selten erlebt man dies in ähnlicher Form. :-) An dieser Stelle möchten wir auch "Mr. Unbekannt" ein herzliches "Dankeschön" für das wachsame Auge und die gutmütige Unterstützung aussprechen.

Es wäre schön, wenn alle von uns gemeldeten Schwachstellen so schnell beseitigt werden könnten. Leider stoßen wir sehr oft auf pure Ignoranz oder absolutes Desinteresse bei den Betreibern. In diesem Fall aber, hat sich das ehrenamtliche Engagement gelohnt.