Abo
  • Services:
Anzeige
Die Zentrale von Ask.com in Oakland
Die Zentrale von Ask.com in Oakland (Bild: Coolcaesar/GNU Free Documentation License)

Datenschutz: Ask.com zeigt auf Apache-Statusseite Suchanfragen an

Die Zentrale von Ask.com in Oakland
Die Zentrale von Ask.com in Oakland (Bild: Coolcaesar/GNU Free Documentation License)

Der Suchmaschinenbetreiber Ask.com gibt mehr Informationen preis, als er eigentlich sollte: Auf einer Apache-Statusseite lassen sich zahlreiche Suchanfragen von Nutzern verfolgen. Seit einem Monat hat das Unternehmen nicht auf die Fehlermeldung reagiert.
Von Hauke Gierow

Die Administratoren der Webseite Ask.com haben bei der Konfiguration der eigenen Server geschlampt. Alle Nutzer, die hinter der eigentlichen URL /server-status eingeben, bekommen eine Übersicht, die die Auslastung der Server, IP-Adressen und zahlreiche Suchbegriffe anzeigt. Ask.com versteht sich als "Antwortseite" im Internet.

Anzeige

Im aktuellen Fall können Nutzer zahlreiche eingegebene Suchstrings als Get-Request bewundern. Neben den Begriffen tauchen außerdem zahlreiche IP-Adressen auf. Viele dieser IPs kommen allerdings gehäuft vor, so dass davon auszugehen ist, dass diese Adressen aus dem Netzwerk von Ask.com selbst stammen und etwa Load-Balancer sind und es sich nicht um die IP-Adressen der Nutzer handelt. Die Statusseite ist eine Standardfunktion von Apache-Webservern, sie sollte aber üblicherweise nicht für die Öffentlichkeit erreichbar sein.

Ask.com handelt unverantwortlich

Trotzdem: Ein Server sollte nicht so betrieben werden. Der Hacker und Golem.de-Autor Hanno Böck hatte den Fehler bereits im März gefunden und an Ask.com gemeldet. Passiert ist bislang nichts. "Es ist sehr unverantwortlich für einen Suchmaschinenbetreiber, seine Server so zu konfigurieren", sagte Böck.

Auch eine erneute Anfrage von Golem.de hat Ask.com-Betreiber IAC Publishing bislang nicht beantwortet. Die Statusseite ist nach wie vor sichtbar. Das Vorgehen erinnert an einen Vorfall bei zahlreichen Tor-Hidden-Services im vergangenen Jahr. Dort hatten viele Admins ebenfalls vergessen, die Statusseite zu deaktivieren. Die Apache-Server laufen im Betrieb als Hidden-Server als Localhost, daher ist das Interface sichtbar, wenn es nicht manuell versteckt wird.

Die Webseite Ask.com ist vielen Nutzern aber vor allem durch die wenig beliebte und oft zwangsweise installierte Ask.com-Toolbar für Browser bekannt. Kommentatoren im Golem.de-Forum bezeichneten die Software daher bei früherer Berichterstattung nicht ganz zu Unrecht selbst als "Malware". Zuletzt hatte der unsicher konfigurierte Update-Prozess dazu geführt, dass Malware verteilt werden konnte.

Nachtrag vom 9. April 2017, 12:17 Uhr

Ask.com hat mittlerweile offenbar reagiert, die Seite ist nicht mehr verfügbar. Unsere Anfrage wurde noch nicht beantwortet.


eye home zur Startseite
Freiheit statt... 10. Apr 2017

... das Geschäftsmodell von Ask besteht darin, unbedarften Nutzern irgendwelche Such...

George99 08. Apr 2017

ask.com hat offenbar reagiert, das Script funktioniert inzwischen nicht mehr.

whitbread 08. Apr 2017

Yep - einfach zusammen mit G00gle und Yah00 auf die Blacklist setzen und gut ist.

rondam 07. Apr 2017

Also wie schon Vorposter meinten: es sind nur private IP-Adressen und wenn ich eine...

Unwichtig 07. Apr 2017

...hat noch ganz groessere Probleme.



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, München, Köln oder Berlin
  2. Bürstner GmbH & Co. KG, Kehl
  3. Wirecard Communication Services GmbH, Leipzig
  4. Odenwald Faserplattenwerk GmbH, Amorbach


Anzeige
Spiele-Angebote
  1. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)
  2. 199€
  3. 12,99€

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: "da es ein shared Medium sei"

    Psy2063 | 07:50

  2. Re: Activision patentiert Kundenverarsche

    RobertBöhm | 07:47

  3. Re: Braucht die Welt nicht...

    TrudleR | 07:42

  4. Re: [unterstützen] keinerlei unverschlüsselten...

    chefin | 07:42

  5. Re: End of ownership

    Bambuslooter | 07:42


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel