Finanso.de

Phishing - Sicherheitsprobleme bei Spiegel-Online und Spreeblick, rbbonline und ARD

Spreeblick stellte vor ein paar Wochen eine Sicherheitslücke von Spiegel-Online dar.

Dabei ging es grob gesagt darum, dass man in eine Eingabe per URL eine ganze Menge HTML-Code einfügen kann, damit man zum Beispiel eine eigene kleine Phishing-Seite unter der Domain von Spiegel-Online aufbauen kann.

Siehe Screenshot von Spreeblick:

Spreeblick Spiegel-Online Sicherheitslücke

Johnny Häusler stellte die Sicherheitslücke, inkl. Anleitung also der entsprechenden URL online. Kurz darauf entfernte er sie auf Bitten von Spiegel-Online wieder (lies allerdings die zahlreichen Kopien von Lesern in den Kommentaren stehen, was aufs gleiche raus kommt).

Spiegel-Online brauchte danach zwei Wochen, um die Sicherheitslücke zu stopfen. Als das nach langer, langer Zeit nun endlich geschehen war, gab es auf Spreeblick einen neuen Artikel dazu.

Darin wurde richtigerweise festgestellt, dass die Sicherheitslücke für Phishing natürlich absolut ideal ist - daraus auch der Screenshot oben.

In den Kommentaren zum Beitrag stellte Fabian fest, dass die gleiche Sicherheitslücke ausgenutzt mittels der Suchfunktion bei Spreeblick selbst existiert.

Siehe Screenshot von Spreeblick/Trackback:

Spreeblick / Trackback Sicherheitslücke

Und zwar auf unter Spreeblick/Trackback, dem Blog zu der Radio-Show, die Johnny Häusler bei Radio Fritz veranstaltet.

Dort erhalten Phisher die Möglichkeit eine eigene kleine Phishing-Seite, ebenso wie bei Spiegel-Online, diesmal nur unter der Domain von Spreeblick und im Design des Rundfunk-Berlin-Brandenburg - rbbonline und der ARD zu erstellen.

Edit: Der Beitrag hatte zuerst den bedauerlichen Fehltitel: Pishing - Sicherheitsprobleme bei Spiegel-Online und Spreeblick, rbbonline und ARD. Es heist aber richtigerweise nicht Pishing, sondern Phishing.

Wird fortgesetzt …

Eine Lösung für das Wordpress-Sicherheitsproblem.

Abgelegt unter: Informiert, Webschau 12. November 2006 12:35