Abo
  • IT-Karriere:

Sicherheitslücke: Hacker setzt sächsischen Innenminister auf Fahndungsliste

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Artikel veröffentlicht am ,
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Interpol sucht nach einem deutschen Innenminister. So stand es jedenfalls auf der Webseite der Organisation - wenn man diese über einen präparierten Link aufrief. Ein Hacker hatte die Meldung dort platziert, um eine Sicherheitslücke auf der Seite zu demonstrieren. Betroffen war der sächsische Innenminister Markus Ulbig. Zur Begründung hieß es: "Sprach sich für Massenüberwachung von 55.000 Handynutzern aus, die zur Sammlung von mehr als einer Million Metadaten führte."

Stellenmarkt
  1. BWI GmbH, bundesweit
  2. CompuGroup Medical Deutschland AG, Kiel, Hamburg

Konkret nutzte der Hacker Mathias Ungethüm eine Schwachstelle für Cross-Site-Scripting (XSS) aus, um die gefälschte Botschaft zu platzieren. "Es gelang mir, die Verbrecher- und Vermisstenlisten zu manipulieren", sagte Ungethüm nach Angaben der Morgenpost Dresden. Neben Ulbig wurde auch Pacman auf die Fahndungsliste gesetzt.

Manipulierter Link wird per E-Mail versendet

Um die Manipulation durchzuführen, wird eine E-Mail mit einem manipulierten Link versendet. Klickt man darauf, wird die manipulierte Seite ausgeliefert. XSS-Angriffe können erfolgreich sein, wenn Webseiten eingegebene Strings oder URLs nicht auf Manipulationen oder illegale Eingaben prüfen. Der versendete Link wird mit einem anderen Titel versehen, um die außergewöhnliche Länge zu kaschieren.

Auch der MDR hatte über den Vorgang berichtet. Dort sagte Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol." Ungethüm verriet nicht, um welches Zeichen es sich handelt.

Mittlerweile wurde die Sicherheitslücke geschlossen. Ungethüm hatte Europol nach eigenen Angaben bereits am 30. Mai über das Problem informiert. Die Sicherheitslücke wurde jedoch erst heute, wenige Stunden nach der Veröffentlichung durch den MDR, geschlossen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 50,99€
  3. (-75%) 3,75€
  4. 3,74€

alcon 08. Jul 2016

Ja, das ist eine kleine Sache, die ganz schoen aufgeblasen wird. Ansonsten wurde die...

alcon 08. Jul 2016

Du brauchst aber auch die Social Engineering Komponente, um das Problem erst zu erzeugen...

alcon 07. Jul 2016

XSS zu entdecken wenn garnichts geprueft wird, ist extrem leicht. Die Aussage mit dem...

DebugErr 07. Jul 2016

Die Begründung wüsste ich mal gerne. Ist doch genauso verfressen wie der Gabriel.

alcon 07. Jul 2016

Du hast vollkommen Recht. Allerdings wollen die Leute immer noch mit ihren Frameworks...


Folgen Sie uns
       


Noctuas passiver CPU-Kühler (Computex 2019)

Noctua zeigt den ersten passiven CPU-Kühler, welcher sogar einen achtkernigen Core i9-9900K auf Temperatur halten kann.

Noctuas passiver CPU-Kühler (Computex 2019) Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

    •  /