Schwachstelle beim Herausgeber von Black Hat & DEF CON

Schwachstelle beim Herausgeber von Black Hat & DEF CON

Kann das tatsächlich wahr sein? Vor ein paar Monaten bin ich über das Portal der „UBM TechWeb“ gestolpert und musste nach wenigen Sekunden feststellen, dass es dort ein Sicherheitsproblem gibt, welches man da eigentlich nicht finden sollte. Die Suchfunktion des Portals – eigentlich die typische Problemzone – ist durch ungefilterte Parameter für XSS anfällig. Nun, diese Sicherheitsproblematik ist durchaus keine Seltenheit. Allerdings war ich etwas verwirrt, als ich lesen musste, dass UBM die Herausgeber und Veranstalter der „Black Hat“ Konferenzen und auch der DEF CON zuzuordnen sind. Für Leser, die mit „Black Hat“ oder „DEF CON“ nichts anfangen können, hier die Erklärung von Wikipedia:

DEFCON (auch Def Con) ist eine der größten Veranstaltungen für Hacker weltweit. Im Jahr 2007 hatte die Konferenz etwa 6 000 Besucher. Sie findet seit 1993 jährlich in Las Vegas, Nevada, statt. Innerhalb von drei Tagen wird über Neuigkeiten in der Computersicherheit berichtet. Die Veranstaltung besteht aus Vorträgen, Workshops und Treffen verschiedener Personen. In der Regel werden auch Wettbewerbe abgehalten. Der Bekannteste ist Capture the Flag (CTF). Hier geht es darum, eigens aufgebaute Computer oder Netzwerke zu verteidigen oder zu erobern. Gegründet wurde die DEFCON von Jeff Moss – auch bekannt als The Dark Tangent – welcher ebenfalls Black Hat Briefings gründete.
Quelle: http://de.wikipedia.org/wiki/DEF_CON

Derartige XSS-Schwachstellen können einem Angreifer dazu dienen, externe Dateien und beliebigen, schädlichen Code in die Ausgabe der Website zu schleusen, um einen Besucher gezielt anzugreifen. Ich habe die Betreiber natürlich umgehend über die Sicherheitsproblematik informiert und warte seitdem auf eine Rückmeldung oder zumindest die Beseitigung der Schwachstelle. Warum man bisher nicht auf meinen Hinweis reagiert hat, kann ich mir nicht erklären. Gerade als Unternehmen in dieser Branche und mit derart „guten Kontakten“, sollte das Ganze eigentlich kein wirkliches Hindernis darstellen. Erst vor wenigen Stunden habe ich eine weitere Sicherheitswarnung an die Betreiber geschickt, um vielleicht doch noch eine Beseitigung der Problematik in Gang zu bringen. Ich bin ganz ehrlich gespannt, ob und wie man bei Veranstaltern der weltweit bekanntesten „Hacker-Konferenzen“ auf meinen Fund (oO) reagieren wird.

Update 02.12.2012:

Hier das Video zur Schwachstelle:

So wie es aussieht, haben die Betreiber reagiert und die Problematik direkt mit dem Relaunch des Portals beseitigt. Leider gab es bis zum heutigen Tag keinerlei Rückmeldung und auch kein „Dankeschön“ für den Hinweis auf das Sicherheitsproblem. Nunja, es ist ja auch keine Neuigkeit, dass Betreiber die Sicherheitshinweise nicht zu schätzen wissen.