Abo
  • Services:

Sicherheitslücke: Hacker setzt sächsischen Innenminister auf Fahndungsliste

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Artikel veröffentlicht am ,
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Interpol sucht nach einem deutschen Innenminister. So stand es jedenfalls auf der Webseite der Organisation - wenn man diese über einen präparierten Link aufrief. Ein Hacker hatte die Meldung dort platziert, um eine Sicherheitslücke auf der Seite zu demonstrieren. Betroffen war der sächsische Innenminister Markus Ulbig. Zur Begründung hieß es: "Sprach sich für Massenüberwachung von 55.000 Handynutzern aus, die zur Sammlung von mehr als einer Million Metadaten führte."

Stellenmarkt
  1. Volksbank Schnathorst eG, Hüllhorst
  2. Bosch Gruppe, Abstatt

Konkret nutzte der Hacker Mathias Ungethüm eine Schwachstelle für Cross-Site-Scripting (XSS) aus, um die gefälschte Botschaft zu platzieren. "Es gelang mir, die Verbrecher- und Vermisstenlisten zu manipulieren", sagte Ungethüm nach Angaben der Morgenpost Dresden. Neben Ulbig wurde auch Pacman auf die Fahndungsliste gesetzt.

Manipulierter Link wird per E-Mail versendet

Um die Manipulation durchzuführen, wird eine E-Mail mit einem manipulierten Link versendet. Klickt man darauf, wird die manipulierte Seite ausgeliefert. XSS-Angriffe können erfolgreich sein, wenn Webseiten eingegebene Strings oder URLs nicht auf Manipulationen oder illegale Eingaben prüfen. Der versendete Link wird mit einem anderen Titel versehen, um die außergewöhnliche Länge zu kaschieren.

Auch der MDR hatte über den Vorgang berichtet. Dort sagte Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol." Ungethüm verriet nicht, um welches Zeichen es sich handelt.

Mittlerweile wurde die Sicherheitslücke geschlossen. Ungethüm hatte Europol nach eigenen Angaben bereits am 30. Mai über das Problem informiert. Die Sicherheitslücke wurde jedoch erst heute, wenige Stunden nach der Veröffentlichung durch den MDR, geschlossen.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  3. 27,99€
  4. 39,99€ (Release 14.11.)

alcon 08. Jul 2016

Ja, das ist eine kleine Sache, die ganz schoen aufgeblasen wird. Ansonsten wurde die...

alcon 08. Jul 2016

Du brauchst aber auch die Social Engineering Komponente, um das Problem erst zu erzeugen...

alcon 07. Jul 2016

XSS zu entdecken wenn garnichts geprueft wird, ist extrem leicht. Die Aussage mit dem...

DebugErr 07. Jul 2016

Die Begründung wüsste ich mal gerne. Ist doch genauso verfressen wie der Gabriel.

alcon 07. Jul 2016

Du hast vollkommen Recht. Allerdings wollen die Leute immer noch mit ihren Frameworks...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Neues Produkt USB-C-Ladekabel für die Apple Watch vorgestellt
  2. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
  3. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

    •  /