SAT.1 ignoriert (erneut) kritische Sicherheitslücken

SAT.1 ignoriert (erneut) kritische Sicherheitslücken

Vor knapp 2 Monaten habe ich den bekannten TV-Sender SAT.1, über kritische Sicherheitsprobleme innerhalb des Internetportals auf sat1.de informiert. Trotz einer ersten Antwort auf den Hinweis, scheinen die Betreiber kein Interesse an einer Beseitigung der Schwachstellen zu haben. Zunächst wurde der Warnhinweis als unseriös bzw. meine Person als unglaubwürdig eingeschätzt. Nach meiner Reaktion auf die E-Mail der Betreiber, erhielt ich keine Rückmeldung mehr. Es ist nicht das erste Mal,...

... dass SAT.1 wenig oder kein Interesse für die Sicherheit der eigenen Mitarbeiter, User und Geschäftspartner aufbringen kann. Bereits vor wenigen Monaten gab es ähnliche Probleme. SAT.1 wurde damals über eine - ebenfalls von mir aufgedeckte - Schwachstelle informiert, die zum Einschleusen von schädlichem Code, zu gezielten Phishing-Attacken oder unter Umständen gar zur Kontrollübernahme des Systems dienen könnte. Bereits damals zeigten die Betreiber nur sehr wenig Interesse für das Sicherheitsproblem. Zunächst reagierte man sehr lange Zeit überhaupt nicht, obwohl selbst direkter Kontakt zu den Mitarbeitern bestand. Später hat man die damals aufgedeckte Schwachstelle - schnell ganz heimlich und leise - beseitigt.

Vor knapp 2 Monaten bin ich auf eine weitere Sicherheitslücke bei SAT.1 gestoßen, die einem Angreifer den Zugriff auf Inhalte der Datenbank erlaubt, sowie bei bestimmten Konfigurationen des Servers, auch zur Kontrollübernahme des Systems führen könnte. Leider ist es aus rechtlichen Gründen nicht möglich, genauere Informationen über die gefährdeten Datensätze, sowie über das Potential der Schwachstelle herauszufinden. Hierzu müsste man die Schwachstelle aktiv ausnutzen, wozu eine Zustimmung der Betreiber nötig wäre. Da die Betreiber aber bis zum heutigen Tag keinerlei Anstand betrieben haben, die Schwachstelle zu beseitigen oder gar genauer nachzufragen, gehe ich nicht davon aus, dass bezüglich der Informationen eine Nachfrage besteht. Der Quellcode lässt vermuten, dass es sich um eine Partnerintegration von SAT.1 handelt, jedoch kann ich dies aus zuvor genannten Gründen nicht genauer ausführen.

Der Userservice von SAT.1 hat zwar relativ zügig auf meine Kontaktanfrage geantwortet, jedoch stellte der nette Herr zunächst einmal den Hinweis an sich in Frage. Ich sollte ihm - bevor er die Sache an die Technik weitergibt - doch bitte einen Tipp übersenden, um sicher zu gehen, dass der Hinweis seriös ist. Als ich auf diese - ja schon fast freche - E-Mail antwortete und meine Kritik über das inkompetente Verhalten äußerte, erhielt ich keinerlei Antwort mehr (natürlich habe ich versucht freundlich zu bleiben, jedoch wäre mir an der Stelle beinahe der Kragen geplatzt). Seit meiner Antwort auf die E-Mail des Mitarbeiters von SAT.1, gab es keine Rückmeldung mehr und auch die Schwachstelle wurde nicht beseitigt. Man hat nicht einmal nach den Details zur Schwachstelle gefragt und scheinbar das Problem einfach unter den Tisch gekehrt (so kenne ich das ja bereits von SAT.1).

In der Zwischenzeit hat sich - laut eigenen Angaben - ein freiwilliger Moderator der SAT.1 Foren, über das Kontaktformular hier bei Sicherheit-Online gemeldet und mich zu den damaligen Schwachstellen befragt. Laut der Kontaktanfrage gab es bei SAT.1 im Forum öfter mal verschiedene Hackerangriffe, die von den Moderatoren dort wahrgenommen, jedoch bislang ungeklärt waren. Es scheint also ein allgemeines Problem bei SAT.1 zu geben, was die Kompetenzen in Sachen Sicherheit betrifft. So wie es aussieht, werden nicht nur Warnhinweise von Außen, sondern auch die der eigenen User und freiwiligen Foren-Moderatoren, schlichtweg ignoriert.

Vor gut 2 Wochen wurde ich per E-Mail über eine weitere SQL-Injection Schwachstelle bei SAT.1 informiert, die bereits von anderer Seite aus gemeldet, jedoch ebenfalls von den Betreibern ignoriert wurde. Das unterstreicht meine Vermutung, dass man bei SAT.1 herzlich wenig Interesse für die Sicherheit der eigenen Mitarbeiter, der User im Portal, sowie der Geschäftspartner hat.

Ich möchte mit diesem öffentlichen Bericht nochmals vor aller Öffentlichkeit die Betreiber bitten, endlich mit Vernunft zu handeln und die Hinweise über gravierende Sicherheitsprobleme ernst zu nehmen. Aus Sicherheitsgründen, möchte ich an dieser Stelle nicht mehr Informationen zu den Schwachstellen bekannt geben. Schließlich können die User und Geschäftspartner nichts für das verantwortungslose Verhalten von SAT.1.