Abo
  • Services:
Anzeige
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Security: Dutzende Schwachstellen in Newsletter-Diensten

Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

Anzeige

In der Software aktueller E-Mail-Marketing-, Newsletter- und Bulk-SMS-Dienste haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie erlaubten den Zugriff auf Datenbanken mit Benutzerinformationen über SQL-Injections oder die Übernahme fremder Benutzerkonten durch das Stehlen von Sitzungscookies. Das IT-Sicherheitsunternehmen Nside Attack Logic informierte in Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem US-Cert (Computer Emergency Response Team) die betroffenen Unternehmen. Die Schwachstellen wurden inzwischen behoben.

Nside untersuchte die Cloud-Dienste einiger Anbieter, die weit verbreitet eingesetzt werden, nach eigenen Angaben haben sie zusammen mehrere Tausend Kunden. Über sie sollen täglich Millionen von E-Mails versendet werden.

Gestohlene Kundendaten sind möglicherweise bereits im Umlauf

Bei einem haben die IT-Sicherheitsexperten beispielsweise eine SQL-Injection-Schwachstelle aufgespürt, die einen Zugriff auf die gesamte Kundendatenbank ermöglichte, sowie eine persistente Cross-Site-Scripting-Schwachstelle im Abmeldeformular, über die Sitzungscookies anderer Kunden gestohlen werden konnten. Eine ähnliche Schwachstelle entdeckten die Datenexperten bei zwei weiteren Anbietern. Zu den weniger kritischen Fehlern zählen eine unsichere Passwortänderung ohne Eingabe des ursprünglichen Passworts sowie der Zugriff der Statistiken eines anderen Kunden.

Zwar seien die Schwachstellen inzwischen weitgehend behoben worden, es sei jedoch ungewiss, wie viele der Schwachstellen bereits unbemerkt ausgenutzt worden sind. Ob und in welchem Umfang persönliche Daten von Kriminellen bereits gestohlen wurden, lasse sich schwer sagen, schreibt Nside in einem Blogeintrag. Anhand der Sachlage sei aber davon auszugehen. Kunden sollten vor der Nutzung solcher Werkzeuge einen Herstellernachweis über durchgeführte Sicherheitstests verlangen. Nside geht davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Werkzeugen anderer Anbieter ebenfalls zu finden sind.


eye home zur Startseite
kalijuro 12. Nov 2014

Einfache Lösung: Eine E-Mail an die E-Mail Adresse des Impressums schreiben, dass Sie...



Anzeige

Stellenmarkt
  1. ERGO Direkt Versicherungen, Nürnberg
  2. Hella Gutmann Solutions GmbH, Ihringen
  3. Pluradent AG & Co. KG, Offenbach
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. 187,00€ inkl. Versand (Vergleichspreis: 195€)
  2. 49,97€
  3. 110,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Zertifizierungsstelle

    Wosign stellt unberechtigtes Zertifikat für Github aus

  2. Logitech M330 und M220

    Silent-Mäuse für Lautstärkeempfindliche

  3. Virb Ultra 30

    Garmins neue Actionkamera reagiert auf Sprachkommandos

  4. Smart Home

    Bosch stellt neue Kameras und Multifunktionsrauchmelder vor

  5. Deepmind

    Googles KI soll Strahlentherapie bei Krebs optimieren

  6. Transformer Book 3 ausprobiert

    Asus' Surface dockt bei Spielern an

  7. Zenwatch 3 im Hands on

    Asus' neue Smartwatch erscheint mit Zusatzakku

  8. Spin 7

    Acer zeigt das weltweit dünnste Convertible

  9. Empire-Entwickler

    Böses Spiel bei Goodgame

  10. Playstation 4

    Deutsche Spieler benötigen Plus für Battlefield 1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
OxygenOS vs. Cyanogenmod im Test: Ein Oneplus Three, zwei Systeme
OxygenOS vs. Cyanogenmod im Test
Ein Oneplus Three, zwei Systeme
  1. Android-Smartphone Update soll Software-Probleme beim Oneplus Three beseitigen
  2. Oneplus Three Update soll Speichermanagement verbessern
  3. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three

Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft
Kritische Infrastrukturen
Wenn die USV Kryptowährungen schürft
  1. Ripper Geldautomaten-Malware gibt bis zu 40 Scheine aus
  2. Ransomware Trojaner Fantom gaukelt kritisches Windows-Update vor
  3. Livestreams Ein Schuss, ein Tor, ein Trojaner

25 Jahre Linux: Besichtigungstour zu den skurrilsten Linux-Distributionen
25 Jahre Linux
Besichtigungstour zu den skurrilsten Linux-Distributionen
  1. Linux-Paketmanager RPM-Entwicklung verläuft chaotisch
  2. Exploits Treiber der Android-Hersteller verursachen Kernel-Lücken
  3. Hans de Goede Red-Hat-Entwickler soll Hybridgrafik unter Linux verbessern

  1. Re: Maus und Tastatur sind nicht das Problem

    ThiefMaster | 16:09

  2. Funk only, schade.

    pythoneer | 16:08

  3. Re: Game-Entwicklung funktioniert halt nicht in...

    Bautz | 16:07

  4. Re: IMHO: FTTH ist auch ziemlicher overkill

    Ovaron | 16:07

  5. Re: Die EU sollte sich mal Gedanken zu dieser...

    BLi8819 | 16:05


  1. 16:05

  2. 15:48

  3. 15:34

  4. 14:40

  5. 14:25

  6. 14:03

  7. 14:00

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel