• IT-Karriere:
  • Services:

Security: Dutzende Schwachstellen in Newsletter-Diensten

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

Artikel veröffentlicht am ,
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

In der Software aktueller E-Mail-Marketing-, Newsletter- und Bulk-SMS-Dienste haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie erlaubten den Zugriff auf Datenbanken mit Benutzerinformationen über SQL-Injections oder die Übernahme fremder Benutzerkonten durch das Stehlen von Sitzungscookies. Das IT-Sicherheitsunternehmen Nside Attack Logic informierte in Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem US-Cert (Computer Emergency Response Team) die betroffenen Unternehmen. Die Schwachstellen wurden inzwischen behoben.

Stellenmarkt
  1. VPV Versicherungen, Stuttgart, Köln
  2. Stadtwerke Potsdam GmbH, Potsdam

Nside untersuchte die Cloud-Dienste einiger Anbieter, die weit verbreitet eingesetzt werden, nach eigenen Angaben haben sie zusammen mehrere Tausend Kunden. Über sie sollen täglich Millionen von E-Mails versendet werden.

Gestohlene Kundendaten sind möglicherweise bereits im Umlauf

Bei einem haben die IT-Sicherheitsexperten beispielsweise eine SQL-Injection-Schwachstelle aufgespürt, die einen Zugriff auf die gesamte Kundendatenbank ermöglichte, sowie eine persistente Cross-Site-Scripting-Schwachstelle im Abmeldeformular, über die Sitzungscookies anderer Kunden gestohlen werden konnten. Eine ähnliche Schwachstelle entdeckten die Datenexperten bei zwei weiteren Anbietern. Zu den weniger kritischen Fehlern zählen eine unsichere Passwortänderung ohne Eingabe des ursprünglichen Passworts sowie der Zugriff der Statistiken eines anderen Kunden.

Zwar seien die Schwachstellen inzwischen weitgehend behoben worden, es sei jedoch ungewiss, wie viele der Schwachstellen bereits unbemerkt ausgenutzt worden sind. Ob und in welchem Umfang persönliche Daten von Kriminellen bereits gestohlen wurden, lasse sich schwer sagen, schreibt Nside in einem Blogeintrag. Anhand der Sachlage sei aber davon auszugehen. Kunden sollten vor der Nutzung solcher Werkzeuge einen Herstellernachweis über durchgeführte Sicherheitstests verlangen. Nside geht davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Werkzeugen anderer Anbieter ebenfalls zu finden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

kalijuro 12. Nov 2014

Einfache Lösung: Eine E-Mail an die E-Mail Adresse des Impressums schreiben, dass Sie...


Folgen Sie uns
       


IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte)

Golem.de erzählt die über 100-jährige Geschichte von Big Blue im Video.

IBM - von der Lochkarte zum Quantencomputer (Golem Geschichte) Video aufrufen
The Last of Us 2 angespielt: Allein auf der Interstate 5
The Last of Us 2 angespielt
Allein auf der Interstate 5

Der vorletzte Blockbuster für Playstation 4: Mitte Juni 2020 erscheint The Last of Us 2. Golem.de konnte einen langen Abschnitt anspielen.
Von Peter Steinlechner

  1. Sony The Last of Us 2 wird PS5-kompatibel
  2. Naughty Dog Spoiler und Sperren rund um The Last of Us 2
  3. Playstation 4 Neue Termine für The Last of Us 2 und Ghost of Tsushima

Realme 6 und 6 Pro im Test: Starke Konkurrenz für Xiaomi
Realme 6 und 6 Pro im Test
Starke Konkurrenz für Xiaomi

Das Realme 6 und 6 Pro bieten eine starke Ausstattung für relativ wenig Geld - und gehören damit aktuell zu den interessantesten Mittelklasse-Smartphones.
Ein Test von Tobias Költzsch


    Wirtschaftsminister: Landesdatenschützer sollen Kontrolle über Firmen verlieren
    Wirtschaftsminister
    Landesdatenschützer sollen Kontrolle über Firmen verlieren

    Die Wirtschaftsminister diskutieren darüber, ob sie den Datenschutzbehörden der Länder die Aufsicht über Unternehmen entziehen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Überwachung Berlin prüft Logistik-Software von Zalando
    2. Investitionsbank Berlin Antragsunterlagen für Corona-Hilfen falsch zugestellt
    3. Echo und Co. Armband stört Mikrofone von smarten Lautsprechern

      •  /