Abo
  • IT-Karriere:

Sicherheitslücke: Hacker setzt sächsischen Innenminister auf Fahndungsliste

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Artikel veröffentlicht am ,
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Interpol sucht nach einem deutschen Innenminister. So stand es jedenfalls auf der Webseite der Organisation - wenn man diese über einen präparierten Link aufrief. Ein Hacker hatte die Meldung dort platziert, um eine Sicherheitslücke auf der Seite zu demonstrieren. Betroffen war der sächsische Innenminister Markus Ulbig. Zur Begründung hieß es: "Sprach sich für Massenüberwachung von 55.000 Handynutzern aus, die zur Sammlung von mehr als einer Million Metadaten führte."

Stellenmarkt
  1. BfS Bundesamt für Strahlenschutz, Oberschleißheim
  2. über experteer GmbH, Sindelfingen

Konkret nutzte der Hacker Mathias Ungethüm eine Schwachstelle für Cross-Site-Scripting (XSS) aus, um die gefälschte Botschaft zu platzieren. "Es gelang mir, die Verbrecher- und Vermisstenlisten zu manipulieren", sagte Ungethüm nach Angaben der Morgenpost Dresden. Neben Ulbig wurde auch Pacman auf die Fahndungsliste gesetzt.

Manipulierter Link wird per E-Mail versendet

Um die Manipulation durchzuführen, wird eine E-Mail mit einem manipulierten Link versendet. Klickt man darauf, wird die manipulierte Seite ausgeliefert. XSS-Angriffe können erfolgreich sein, wenn Webseiten eingegebene Strings oder URLs nicht auf Manipulationen oder illegale Eingaben prüfen. Der versendete Link wird mit einem anderen Titel versehen, um die außergewöhnliche Länge zu kaschieren.

Auch der MDR hatte über den Vorgang berichtet. Dort sagte Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol." Ungethüm verriet nicht, um welches Zeichen es sich handelt.

Mittlerweile wurde die Sicherheitslücke geschlossen. Ungethüm hatte Europol nach eigenen Angaben bereits am 30. Mai über das Problem informiert. Die Sicherheitslücke wurde jedoch erst heute, wenige Stunden nach der Veröffentlichung durch den MDR, geschlossen.



Anzeige
Top-Angebote
  1. 129,90€ (Bestpreis!)
  2. 59,99€ (Release am 15. November)
  3. (Batman Arkham Collection & Lego Batman Trilogy)
  4. (u. a. Actionfiguren ab 11,99€, DCU Animation Batman Collection 59,97€, verschiedene Lego DC...

alcon 08. Jul 2016

Ja, das ist eine kleine Sache, die ganz schoen aufgeblasen wird. Ansonsten wurde die...

alcon 08. Jul 2016

Du brauchst aber auch die Social Engineering Komponente, um das Problem erst zu erzeugen...

alcon 07. Jul 2016

XSS zu entdecken wenn garnichts geprueft wird, ist extrem leicht. Die Aussage mit dem...

DebugErr 07. Jul 2016

Die Begründung wüsste ich mal gerne. Ist doch genauso verfressen wie der Gabriel.

alcon 07. Jul 2016

Du hast vollkommen Recht. Allerdings wollen die Leute immer noch mit ihren Frameworks...


Folgen Sie uns
       


Motorola One Action im Hands On

Motorola hat das One Action vorgestellt. Das Mittelklasse-Smartphone hat eine Actionkamera eingebaut, die mit einem 117 Grad großen Weitwinkel und einer digitalen Bildstabilisierung versehen ist. Das One Action hat eine gute Mitteklasseausstattung und kostet 260 Euro.

Motorola One Action im Hands On Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger


    Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
    Geothermie
    Wer auf dem Vulkan wohnt, muss nicht so tief bohren

    Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
    Ein Bericht von Jan Oliver Löfken

    1. Nachhaltigkeit Jute im Plastik
    2. Nachhaltigkeit Bauen fürs Klima
    3. Autos Elektro, Brennstoffzelle oder Diesel?

      •  /