Sicherheitslücken entdeckt: Webhoster schützen nicht genug vor Angreifern

Websites boomen nach wie vor. User kaufen Domains wie Sand am Meer und das Erstellen einer Website ist mit einfachen CMS-Systemen beinahe ein Kinderspiel. Anwender verlassen sich dabei auf ein dahinter stehendes Sicherheitssystem, das sie effektiv vor gefährlichen Angriffen schützt. Wie steht es eigentlich um die Hackbarkeit von Domains? Wie gut der von Webhostern verwendete Schutz tatsächlich ist, erfährst du in diesem Artikel. 

Auf Entdeckungsreise

Domains sind nicht so gut gegen Angriffe abgesichert wie wir denken. Der Sicherheitsforscher Paulos Yibelo hat sich auf Entdeckungsreise begeben und ist fündig geworden. Es gelang ihm relativ einfach, den partiell vorhandenen CSRF-Schutz (Cross-Site- Request-Forgery) zu umgehen. Bei CSRF wird das System so angegriffen, dass eine Transaktion auf eine Webanwendung durchgeführt wird. Ein untergeschobener HTTP-Request sorgt dafür, dass das Opfer die gewünschte Aktion durchführt. Das Ganze geschieht während der Anmeldung des Geschädigten.

Entweder der Webhoster macht seine Aufgaben oder du wirst gehackt

Und dann heißt es bald darauf HACKED! Fünf der weltweit größten Webhoster waren von den gravierenden Sicherheitslücken betroffen. Bei Dreamhost, Bluehost, HostGator, OVH und iPage tauchten Schwachstellen auf. Insgesamt sind dort 7 Millionen Domains registriert. Im Falle eines großangelegten Angriffs hätte dies einen enormen Schaden verursachen können. Ganze Websites können auf diesem Wege übernommen und manipuliert werden. Wie ist das möglich?

Wenn Sicherheitsstandards für die Katz sind

Das Einhalten einfacher Sicherheitsstandards ist nicht selbstverständlich. Webhoster nehmen Logins und Kontoänderungen teilweise wohl auf die leichte Schulter. Die Abfrage des Passwortes wird anscheinend nicht immer gemacht und so haben Angreifer wirklich ein leichtes Spiel.

Host in the USA

Die Webhoster sitzen fast alle in den USA und haben relativ schnell auf die Sicherheitslücken reagiert. Alle bis auf einen Anbieter (der europäische Hoster OVH) haben auf das Resultat des Tests mit einer umgehender Schließung der Sicherheitslücken geantwortet. Wie ein ähnlicher Test wohl am DSGVO-Kontinent Europa ausfallen würde?

FAZIT

Domains sind keinesfalls immer ausreichend gegen Angriffe geschützt. Websites können sogar so manipuliert werden, dass es zu Phishing, SPAM-Versand oder Brute-Force-Angriffen auf weitere Ziele kommt. Es wird mitunter Malware auf den Computern der Website-Besucher installiert. Die Folgeschäden sind nicht gerade unerheblich. Verlasse dich nicht automatisch darauf, dass jeder Webhoster seine Arbeit macht.  Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

 

 


Erstellt am: 19. Januar 2019

Schreibe einen Kommentar

Weitere Artikel

Verbraucherzentrale warnt vor der Webseite online-wohngeld.de

Verbraucherzentrale warnt vor der Webseite online-wohngeld.de

Die Verbraucherzentrale Bundesverband (vzbv) hat eine deutliche Warnung vor der Webseite online-wohngeld.de ausgesprochen. Diese Plattform vermittelt den Eindruck, dass man dort Wohngeld beantragen kann. Tatsächlich handelt es sich jedoch um ein kostenpflichtiges Angebot, das Verbrauchern schadet, ohne ihnen wirklich zu helfen. Im folgenden Artikel erklären wir, warum die Webseite problematisch ist und welche Risiken sie birgt. Inhaltsverzeichnis Täuschung bei der Antragstellung Die Webseite online-wohngeld.de erweckt auf den ersten Blick den Eindruck, dass man dort einfach und schnell einen Wohngeldantrag stellen ...
Weiterlesen …
/ / Allgemein
VPN.ht Test (2024)

VPN.ht Test (2024)

VPN.HT Icon VPN.ht Test VPN.ht ist ein Anbieter der in HongKong beheimatet ist und einen ausgewogenen und durchaus auch attraktiven Service bietet.  Mit 18 verschiedenen Serverstandorten und einer sehr einfachen, wenn auch in Englisch gehaltenen Anleitung bietet der Server ein wirklich hervorragendes Preis/Leistungsverhältnis. Für nur 1 USD kann man den Service im ersten Monat nutzen, jedes weitere Monat kostet $4.99 oder bei einer Jahresvorauszahlung nur $3.33/Monat. Wer einen guten Anbieter für Torrents sucht oder schnelle Verbindungen für Streaming hat damit ...
Weiterlesen …
iode Android Testbericht: Das alternative Betriebssystem im Fokus

iode Android Testbericht: Das alternative Betriebssystem im Fokus

iode Android ist ein alternatives Betriebssystem für Smartphones, das auf Datenschutz und Benutzerfreundlichkeit setzt. Entwickelt von der französischen Firma iode Tech, bietet es eine spannende Option für alle, die eine datenschutzfreundliche Alternative zu herkömmlichen Android-Distributionen suchen. In diesem Testbericht werfen wir einen detaillierten Blick auf die Funktionen, Vorteile und Nachteile von iode Android. iode Android Test Inhaltsverzeichnis Was ist iode Android? iode Android ist eine auf Android basierende Software, die darauf abzielt, die Privatsphäre der Nutzer zu schützen und gleichzeitig ...
Weiterlesen …
Die Chatkontrolle ist ein Sicherheitsrisiko für ganz Europa

Die Chatkontrolle ist ein Sicherheitsrisiko für ganz Europa

Der Einsatz der Messenger-Überwachung wäre eine Katastrophe für die Menschen in der EU. Ein solches System kann nie sicher sein, warnen Wissenschaftler aus Österreich. Inhaltsverzeichnis Whatsapp und Signal sind verschlüsselte Messenger Die Europäische Union plant, noch vor dem Versenden von Nachrichten mitzulesen. Eine Gruppe hochrangiger Cybersicherheitsforscher aus Österreich warnt vor den Konsequenzen dieser Pläne. Zum einen werden die Bürgerinnen und Bürger Europas von sicherer Kommunikation abgeschnitten und einer anlasslosen Massenüberwachung unterzogen. Zum anderen ist die dahinterstehende Technologie alles andere als ...
Weiterlesen …
Wird geladen...