Thema: Schwachstellen bei T-Mobile.de, SPD.de und Bundesregierung.de

[SiLæncer]

Die Internetportale T-Mobile.de, SPD.de und Bundesregierung.de sind anfällig für Cross Site Scripting (XSS). Laut einem Blog-Eintrag von Felix Becker ist es möglich, per URL-Parameter beliebigen JavaScript-Code und eigene Inhalte in die aufgerufenen Webseiten einzubetten. Das Blog zeigt auch mehrere Screenshots der durch XSS teilweise oder vollständing veränderten Webseiten.

Ein Angreifer könnte beispielsweise in E-Mails oder auf einer Webseite ahnungslose Anwender zum Klicken auf einen manipulierten Link verleiten. Aufgrund der Lücken bekämen diese nicht mehr die ursprüngliche verlinkte Seite, sondern teilweise oder vollständig vom Angreifer bestimmte Inhalte im Browser angezeigt. Damit könnte er dann beispielweise im Namen der großen Portale zur Eingabe von vertraulichen Daten auffordern und diese an eigene Server im Internet übermitteln oder Login-Cookies seiner Opfer ausspähen.

Besonders prekär an den XSS-Lücken ist, dass sich Besucher leichter zur Eingabe vertraulicher Daten bewegen lassen dürften, wenn die Aufforderung allem äußeren Anschein nach von einer namhaften Website stammt. Erst vergangene Woche wurden vergleichbare Lücken bei Internet.com, Amazon und MSN bekannt. Details zu den nun veröffentlichten Schwachstellen möchte Becker erst nennen, sobald sie behoben wurden oder falls die Betreiber nicht reagieren. Die Webmaster der betroffenen Seiten habe er bereits informiert.

Siehe dazu auch:

    * Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security


Quelle und Links : http://www.heise.de/security/news/meldung/75334

[SiLæncer]

Mindestens 1900 Zugangsdaten samt den zugehörigen Kennwörtern konnte ein virtueller Angreifer von der Webseite der SPD entwenden. Die deutsche Partei hat den Vorfall bestätigt und Strafanzeige gestellt.

Näher Informationen zu diesem Thema liegen dem Spiegel vor. Aus einem veröffentlichten Vorabbericht geht hervor, dass der unbekannte Angreifer Auszüge dieser erbeuteten Datensätze auf einer nicht näher bekannt gegebenen Internetplattform veröffentlicht hat.

Wie bereits angesprochen hat die SPD den erfolgreichen Angriff auf die eigenen Server bestätigt und zugleich eine Strafanzeige auf den Weg gebracht. Mit diesem Vorfall beschäftigt sich nun die Staatsanwaltschaft Berlin wegen des Ausspähens von Datensätzen.

Schon vor einigen Wochen soll der vermeintliche Angreifer über die Microblogging-Plattform Twitter bekannt gegeben haben, dass es ihm möglich war, die "Social Democratic Party of Germany" zu hacken. Dort tritt er unter dem Alias Zyklon B auf.

Es ist davon auszugehen, dass er der Gruppe namens "The Unknowns" angehört. Diese sorgte in den letzten Wochen mit erfolgreichen Attacken auf mehrere staatliche Institutionen für Aufsehen. Zyklon B selbst will beispielsweise Server der US-Luftwaffe, der NASA und der europäischen Raumfahrtbehörde Esa übernommen haben.

Die Webseite der SPD wurde nicht zum ersten Mal erfolgreich übernommen. Einer Gruppierung, die sich als die "wahren Lübecker" bezeichnet, war es zum Beispiel Mitte des letzten Jahres möglich, sich einen Zugriff zu verschaffen und die Inhalte der Webseite durch eine eigene Seite auszutauschen.

Quelle : http://winfuture.de/