Abo
  • Services:
Anzeige
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Security: Dutzende Schwachstellen in Newsletter-Diensten

Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

Anzeige

In der Software aktueller E-Mail-Marketing-, Newsletter- und Bulk-SMS-Dienste haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie erlaubten den Zugriff auf Datenbanken mit Benutzerinformationen über SQL-Injections oder die Übernahme fremder Benutzerkonten durch das Stehlen von Sitzungscookies. Das IT-Sicherheitsunternehmen Nside Attack Logic informierte in Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem US-Cert (Computer Emergency Response Team) die betroffenen Unternehmen. Die Schwachstellen wurden inzwischen behoben.

Nside untersuchte die Cloud-Dienste einiger Anbieter, die weit verbreitet eingesetzt werden, nach eigenen Angaben haben sie zusammen mehrere Tausend Kunden. Über sie sollen täglich Millionen von E-Mails versendet werden.

Gestohlene Kundendaten sind möglicherweise bereits im Umlauf

Bei einem haben die IT-Sicherheitsexperten beispielsweise eine SQL-Injection-Schwachstelle aufgespürt, die einen Zugriff auf die gesamte Kundendatenbank ermöglichte, sowie eine persistente Cross-Site-Scripting-Schwachstelle im Abmeldeformular, über die Sitzungscookies anderer Kunden gestohlen werden konnten. Eine ähnliche Schwachstelle entdeckten die Datenexperten bei zwei weiteren Anbietern. Zu den weniger kritischen Fehlern zählen eine unsichere Passwortänderung ohne Eingabe des ursprünglichen Passworts sowie der Zugriff der Statistiken eines anderen Kunden.

Zwar seien die Schwachstellen inzwischen weitgehend behoben worden, es sei jedoch ungewiss, wie viele der Schwachstellen bereits unbemerkt ausgenutzt worden sind. Ob und in welchem Umfang persönliche Daten von Kriminellen bereits gestohlen wurden, lasse sich schwer sagen, schreibt Nside in einem Blogeintrag. Anhand der Sachlage sei aber davon auszugehen. Kunden sollten vor der Nutzung solcher Werkzeuge einen Herstellernachweis über durchgeführte Sicherheitstests verlangen. Nside geht davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Werkzeugen anderer Anbieter ebenfalls zu finden sind.


eye home zur Startseite
kalijuro 12. Nov 2014

Einfache Lösung: Eine E-Mail an die E-Mail Adresse des Impressums schreiben, dass Sie...



Anzeige

Stellenmarkt
  1. Continental AG, Regensburg
  2. Wüstenrot & Württembergische Informatik GmbH, Ludwigsburg
  3. teamix gmbH, Nürnberg, Mainz, München, Bayreuth
  4. Provadis Professionals GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. 23,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. The Hateful 8 7,97€, The Revenant 8,97€, Interstellar 7,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Rechentechnik

    Ein Bauplan für einen Quantencomputer

  2. Roborace

    Roboterrennwagen bei Testlauf verunglückt

  3. Realface

    Apple kauft israelischen Gesichtserkennungsspezialisten

  4. Chevrolet Bolt

    GM plant Tests mit Tausenden von autonomen Elektroautos

  5. Konkurrenz zu Amazon Echo

    Hologramm-Barbie soll digitale Assistentin werden

  6. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  7. Class-Action-Lawsuit

    Hunderte Exmitarbeiter verklagen Blackberry

  8. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  9. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  10. SpaceX

    Trägerrakete Falcon 9 erfolgreich gestartet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

  1. Re: Google Plus

    der_wahre_hannes | 09:39

  2. Re: Wir sollten da mal schön die Klappe halten

    buuii | 09:39

  3. Re: Und wo liegt nun der Unterschied zu Alexa?

    Berner Rösti | 09:37

  4. Re: 30 Sekunden meines Lebens...

    der_wahre_hannes | 09:37

  5. Re: "Smart"-TVs mit Kamera und Mikro

    Anonymouse | 09:36


  1. 09:07

  2. 07:53

  3. 07:41

  4. 07:22

  5. 14:00

  6. 12:11

  7. 11:29

  8. 11:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel