Sicherheitslücken entdeckt: Webhoster schützen nicht genug vor Angreifern

Websites boomen nach wie vor. User kaufen Domains wie Sand am Meer und das Erstellen einer Website ist mit einfachen CMS-Systemen beinahe ein Kinderspiel. Anwender verlassen sich dabei auf ein dahinter stehendes Sicherheitssystem, das sie effektiv vor gefährlichen Angriffen schützt. Wie steht es eigentlich um die Hackbarkeit von Domains? Wie gut der von Webhostern verwendete Schutz tatsächlich ist, erfährst du in diesem Artikel. 

Auf Entdeckungsreise

Domains sind nicht so gut gegen Angriffe abgesichert wie wir denken. Der Sicherheitsforscher Paulos Yibelo hat sich auf Entdeckungsreise begeben und ist fündig geworden. Es gelang ihm relativ einfach, den partiell vorhandenen CSRF-Schutz (Cross-Site- Request-Forgery) zu umgehen. Bei CSRF wird das System so angegriffen, dass eine Transaktion auf eine Webanwendung durchgeführt wird. Ein untergeschobener HTTP-Request sorgt dafür, dass das Opfer die gewünschte Aktion durchführt. Das Ganze geschieht während der Anmeldung des Geschädigten.

Entweder der Webhoster macht seine Aufgaben oder du wirst gehackt

Und dann heißt es bald darauf HACKED! Fünf der weltweit größten Webhoster waren von den gravierenden Sicherheitslücken betroffen. Bei Dreamhost, Bluehost, HostGator, OVH und iPage tauchten Schwachstellen auf. Insgesamt sind dort 7 Millionen Domains registriert. Im Falle eines großangelegten Angriffs hätte dies einen enormen Schaden verursachen können. Ganze Websites können auf diesem Wege übernommen und manipuliert werden. Wie ist das möglich?

Wenn Sicherheitsstandards für die Katz sind

Das Einhalten einfacher Sicherheitsstandards ist nicht selbstverständlich. Webhoster nehmen Logins und Kontoänderungen teilweise wohl auf die leichte Schulter. Die Abfrage des Passwortes wird anscheinend nicht immer gemacht und so haben Angreifer wirklich ein leichtes Spiel.

Host in the USA

Die Webhoster sitzen fast alle in den USA und haben relativ schnell auf die Sicherheitslücken reagiert. Alle bis auf einen Anbieter (der europäische Hoster OVH) haben auf das Resultat des Tests mit einer umgehender Schließung der Sicherheitslücken geantwortet. Wie ein ähnlicher Test wohl am DSGVO-Kontinent Europa ausfallen würde?

FAZIT

Domains sind keinesfalls immer ausreichend gegen Angriffe geschützt. Websites können sogar so manipuliert werden, dass es zu Phishing, SPAM-Versand oder Brute-Force-Angriffen auf weitere Ziele kommt. Es wird mitunter Malware auf den Computern der Website-Besucher installiert. Die Folgeschäden sind nicht gerade unerheblich. Verlasse dich nicht automatisch darauf, dass jeder Webhoster seine Arbeit macht.  Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

 

 

Zusammenfassung
Artikel Name
Sicherheitslücken entdeckt: Webhoster schützen nicht genug vor Angreifern
Beschreibung
Websites boomen nach wie vor. User kaufen Domains wie Sand am Meer und das Erstellen einer Website ist mit einfachen CMS-Systemen beinahe ein Kinderspiel. Anwender verlassen sich dabei auf ein dahinter stehendes Sicherheitssystem, das sie effektiv vor gefährlichen Angriffen schützt. Wie steht es eigentlich um die Hackbarkeit von Domains? Wie gut der von Webhostern verwendete Schutz tatsächlich ist, erfährst du in diesem Artikel.
Author
Veröffentlicher
vpn-blog.de
Logo

Schreibe einen Kommentar

Weitere Artikel

/ Datenschutz
Vom Genlabor in den Knast – DNA im Kampf um Recht und Ordnung

Vom Genlabor in den Knast – DNA im Kampf um Recht und Ordnung

Die Ahnenforschung ist eine feine Sache. Wo Menschen ihre DNS testen lassen, finden sich verschollene Verwandte, da werden unerkannte Krankheiten diagnostiziert und sogar Kriminelle überführt. Aber es gibt auch Schattenseiten und die große Frage: Ist unsere DNA Privatsache? Anonymität vs. Sicherheit der Gemeinschaft im Interessenkonflikt Die wenigsten Menschen haben auch nur annähernd eine Ahnung von ihrer eigenen DNA. Während sie selbst zumeist gerade einmal sagen könnten, wie es um Chromosom X oder Y bestellt ist, wissen Datenbanken längst so gut ...
Weiterlesen …
/ Allgemein
Die Polizei – dein Hacker und Helfer?

Die Polizei – dein Hacker und Helfer?

Wenn es um Recht und Ordnung geht, heiligt manchmal der Zweck die Mittel. Böse Buben, die mit ihren Komplizen chatten, sollten sich nicht zu sicher sein und damit rechnen, dass es sich um ein Fake-Profil handeln könnte und sie soeben mit einem Ermittler ihren neuesten Coup planen. Unkonventionelle Ermittlungsmethoden Das Prinzip ist zunächst recht einfach, nach dem Polizei und Geheimdienste mitunter arbeiten. Sie lassen Verbrecher in die Falle laufen, indem sie zum Beispiel die Identität eines Mittäters annehmen. Nicht wirklich ...
Weiterlesen …
/ Allgemein
SIS II: Zunahme der heimlichen Fahndungen steigt

SIS II: Zunahme der heimlichen Fahndungen steigt

SIS steht für Schengener Informationssystem. SIS II ist die zweite Generation dieses Grundsystems. In der Praxis  besteht es seit dem 26. März 1995. SIS II wurde 2013 in Betrieb genommen. Es enthält Ausschreibungen zu Personen und Sachen im Schengen-Raum. Hier geht es ganz einfach um Menschen oder Dinge, die gesucht werden und zu diesem Zwecke in einem gemeinsamen System erfasst wurden. Wenn die linke Hand nicht weiß, was die rechte sucht, wird der, die oder das Gesuchte vielleicht für immer  ...
Weiterlesen …
/ Anwendungen
China in your hand: Im Land des Lächelns sind VPNs sehr beliebt! Ist das legal?

China in your hand: Im Land des Lächelns sind VPNs sehr beliebt! Ist das legal?

Die Antwort ist ganz einfach. In China sind sämtliche VPNs verboten, die nicht von der Regierung genehmigt wurden. Das Land des Lächelns zaubert auch hier ein Lächeln in jedes Gesicht. Da wird ordentlich dafür gesorgt, dass jedes Herz im Rhythmus der Zensur schlägt und dann, als VPN plötzlich ein Licht am Ende des Tunnels bietet und ein Hauch von Freiheit und Privatsphäre im Raum steht, taucht da ein Gesetz auf. Am 31. März wurde die Illusion sozusagen zerstört, denn ein ...
Weiterlesen …
Wird geladen...