Abo
  • Services:
Anzeige
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Security: Dutzende Schwachstellen in Newsletter-Diensten

Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt.
Bei mehreren Newsletter-Diensten haben Datenexperten zahlreiche Schwachstellen entdeckt. (Bild: Nside)

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

Anzeige

In der Software aktueller E-Mail-Marketing-, Newsletter- und Bulk-SMS-Dienste haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie erlaubten den Zugriff auf Datenbanken mit Benutzerinformationen über SQL-Injections oder die Übernahme fremder Benutzerkonten durch das Stehlen von Sitzungscookies. Das IT-Sicherheitsunternehmen Nside Attack Logic informierte in Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und dem US-Cert (Computer Emergency Response Team) die betroffenen Unternehmen. Die Schwachstellen wurden inzwischen behoben.

Nside untersuchte die Cloud-Dienste einiger Anbieter, die weit verbreitet eingesetzt werden, nach eigenen Angaben haben sie zusammen mehrere Tausend Kunden. Über sie sollen täglich Millionen von E-Mails versendet werden.

Gestohlene Kundendaten sind möglicherweise bereits im Umlauf

Bei einem haben die IT-Sicherheitsexperten beispielsweise eine SQL-Injection-Schwachstelle aufgespürt, die einen Zugriff auf die gesamte Kundendatenbank ermöglichte, sowie eine persistente Cross-Site-Scripting-Schwachstelle im Abmeldeformular, über die Sitzungscookies anderer Kunden gestohlen werden konnten. Eine ähnliche Schwachstelle entdeckten die Datenexperten bei zwei weiteren Anbietern. Zu den weniger kritischen Fehlern zählen eine unsichere Passwortänderung ohne Eingabe des ursprünglichen Passworts sowie der Zugriff der Statistiken eines anderen Kunden.

Zwar seien die Schwachstellen inzwischen weitgehend behoben worden, es sei jedoch ungewiss, wie viele der Schwachstellen bereits unbemerkt ausgenutzt worden sind. Ob und in welchem Umfang persönliche Daten von Kriminellen bereits gestohlen wurden, lasse sich schwer sagen, schreibt Nside in einem Blogeintrag. Anhand der Sachlage sei aber davon auszugehen. Kunden sollten vor der Nutzung solcher Werkzeuge einen Herstellernachweis über durchgeführte Sicherheitstests verlangen. Nside geht davon aus, dass ähnliche kritische Schwachstellen in den Newsletter-Werkzeugen anderer Anbieter ebenfalls zu finden sind.


eye home zur Startseite
kalijuro 12. Nov 2014

Einfache Lösung: Eine E-Mail an die E-Mail Adresse des Impressums schreiben, dass Sie...



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Zurich Gruppe Deutschland, Bonn
  3. operational services GmbH & Co. KG, Wolfsburg, Braunschweig, Zwickau
  4. ResMed, Martinsried Raum München


Anzeige
Top-Angebote
  1. 9,99€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)
  2. 154,90€ + 3,99€ Versand
  3. 59,99€

Folgen Sie uns
       


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  2. IBM Q Qubits as a Service
  3. Rechentechnik Ein Bauplan für einen Quantencomputer

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  2. Sportback Concept Audis zweiter E-tron ist ein Sportwagen
  3. Vision E Skoda will elektrisch überzeugen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: Sorry aber

    Bone Balboa | 13:50

  2. SAFTLADEN!! -kwt-

    Konfuzius Peng | 13:45

  3. Re: Bootzeit?

    Kletty | 13:45

  4. Re: Vllt mal die deutsche Seite spielen?

    zZz | 13:41

  5. Re: Hier vielleicht kein Patenttroll

    Trockenobst | 13:31


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel