Abo
  • Services:
Anzeige
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Security: Dutzende Schwachstellen in Newsletter-Diensten

Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

Anzeige

In der Software aktueller E-Mail-Marketing-, Newsletter- und Bulk-SMS-Dienste haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie erlaubten den Zugriff auf Datenbanken mit Benutzerinformationen über SQL-Injections oder die Übernahme fremder Benutzerkonten durch das Stehlen von Sitzungscookies. Das IT-Sicherheitsunternehmen Nside Attack Logic informierte in Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem US-Cert (Computer Emergency Response Team) die betroffenen Unternehmen. Die Schwachstellen wurden inzwischen behoben.

Nside untersuchte die Cloud-Dienste einiger Anbieter, die weit verbreitet eingesetzt werden, nach eigenen Angaben haben sie zusammen mehrere Tausend Kunden. Über sie sollen täglich Millionen von E-Mails versendet werden.

Gestohlene Kundendaten sind möglicherweise bereits im Umlauf

Bei einem haben die IT-Sicherheitsexperten beispielsweise eine SQL-Injection-Schwachstelle aufgespürt, die einen Zugriff auf die gesamte Kundendatenbank ermöglichte, sowie eine persistente Cross-Site-Scripting-Schwachstelle im Abmeldeformular, über die Sitzungscookies anderer Kunden gestohlen werden konnten. Eine ähnliche Schwachstelle entdeckten die Datenexperten bei zwei weiteren Anbietern. Zu den weniger kritischen Fehlern zählen eine unsichere Passwortänderung ohne Eingabe des ursprünglichen Passworts sowie der Zugriff der Statistiken eines anderen Kunden.

Zwar seien die Schwachstellen inzwischen weitgehend behoben worden, es sei jedoch ungewiss, wie viele der Schwachstellen bereits unbemerkt ausgenutzt worden sind. Ob und in welchem Umfang persönliche Daten von Kriminellen bereits gestohlen wurden, lasse sich schwer sagen, schreibt Nside in einem Blogeintrag. Anhand der Sachlage sei aber davon auszugehen. Kunden sollten vor der Nutzung solcher Werkzeuge einen Herstellernachweis über durchgeführte Sicherheitstests verlangen. Nside geht davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Werkzeugen anderer Anbieter ebenfalls zu finden sind.


eye home zur Startseite
kalijuro 12. Nov 2014

Einfache Lösung: Eine E-Mail an die E-Mail Adresse des Impressums schreiben, dass Sie...



Anzeige

Stellenmarkt
  1. Hornetsecurity GmbH, Hannover
  2. OSRAM GmbH, Garching bei München
  3. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  4. Rohde & Schwarz Cybersecurity GmbH, Leipzig


Anzeige
Hardware-Angebote
  1. 543,73€
  2. (täglich neue Deals)
  3. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Debatte nach Wanna Cry

    Sicherheitslücken veröffentlichen oder zurückhacken?

  2. Drohne

    DJI Spark ist ein winziger Spaßcopter mit Gestensteuerung

  3. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  4. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  5. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  6. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  7. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  8. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  9. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  10. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Wenn ich so an meinen alten Arbeitgeber denke...

    textract | 09:29

  2. Re: Unix, das Betriebssystem von Entwicklern, für...

    renegade334 | 09:26

  3. Re: Coole Sache aber,

    Bruce Wayne | 09:20

  4. Re: Wirklich nicht umweltfreundlich?

    TW1920 | 09:20

  5. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Evron | 09:19


  1. 09:02

  2. 08:28

  3. 07:16

  4. 07:08

  5. 18:10

  6. 10:10

  7. 09:59

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel