Sicherheitslücken entdeckt: Webhoster schützen nicht genug vor Angreifern

Websites boomen nach wie vor. User kaufen Domains wie Sand am Meer und das Erstellen einer Website ist mit einfachen CMS-Systemen beinahe ein Kinderspiel. Anwender verlassen sich dabei auf ein dahinter stehendes Sicherheitssystem, das sie effektiv vor gefährlichen Angriffen schützt. Wie steht es eigentlich um die Hackbarkeit von Domains? Wie gut der von Webhostern verwendete Schutz tatsächlich ist, erfährst du in diesem Artikel. 

Auf Entdeckungsreise

Domains sind nicht so gut gegen Angriffe abgesichert wie wir denken. Der Sicherheitsforscher Paulos Yibelo hat sich auf Entdeckungsreise begeben und ist fündig geworden. Es gelang ihm relativ einfach, den partiell vorhandenen CSRF-Schutz (Cross-Site- Request-Forgery) zu umgehen. Bei CSRF wird das System so angegriffen, dass eine Transaktion auf eine Webanwendung durchgeführt wird. Ein untergeschobener HTTP-Request sorgt dafür, dass das Opfer die gewünschte Aktion durchführt. Das Ganze geschieht während der Anmeldung des Geschädigten.

Entweder der Webhoster macht seine Aufgaben oder du wirst gehackt

Und dann heißt es bald darauf HACKED! Fünf der weltweit größten Webhoster waren von den gravierenden Sicherheitslücken betroffen. Bei Dreamhost, Bluehost, HostGator, OVH und iPage tauchten Schwachstellen auf. Insgesamt sind dort 7 Millionen Domains registriert. Im Falle eines großangelegten Angriffs hätte dies einen enormen Schaden verursachen können. Ganze Websites können auf diesem Wege übernommen und manipuliert werden. Wie ist das möglich?

Wenn Sicherheitsstandards für die Katz sind

Das Einhalten einfacher Sicherheitsstandards ist nicht selbstverständlich. Webhoster nehmen Logins und Kontoänderungen teilweise wohl auf die leichte Schulter. Die Abfrage des Passwortes wird anscheinend nicht immer gemacht und so haben Angreifer wirklich ein leichtes Spiel.

Host in the USA

Die Webhoster sitzen fast alle in den USA und haben relativ schnell auf die Sicherheitslücken reagiert. Alle bis auf einen Anbieter (der europäische Hoster OVH) haben auf das Resultat des Tests mit einer umgehender Schließung der Sicherheitslücken geantwortet. Wie ein ähnlicher Test wohl am DSGVO-Kontinent Europa ausfallen würde?

FAZIT

Domains sind keinesfalls immer ausreichend gegen Angriffe geschützt. Websites können sogar so manipuliert werden, dass es zu Phishing, SPAM-Versand oder Brute-Force-Angriffen auf weitere Ziele kommt. Es wird mitunter Malware auf den Computern der Website-Besucher installiert. Die Folgeschäden sind nicht gerade unerheblich. Verlasse dich nicht automatisch darauf, dass jeder Webhoster seine Arbeit macht.  Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

 

 


Erstellt am:19. Januar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Überwachung
Alexa im Home Office?

Alexa im Home Office? Schlechte Idee!

Wenn du momentan (wie sehr viele Menschen) von zu Hause arbeitest, können nicht nur Kinder & Co zum Störfaktor werden. Viel schlimmer: Da du oft auch vertrauliche Firmenagenden via Telefonkonferenz etc. besprichst, könnten dir Spione in den eigenen vier Wänden zum Verhängnis werden. Denn: Alexa und andere smarte Speaker hören mit! Wie Spionage-sicher ist dein Zuhause? Dieser Tipp kommt von einer Berufsgruppe, die sich mit Firmeninternat und geheimen Dokumenten auskennt: Anwälten. Normalerweise verschanzen sie sich in ihren Büros und reden ...
Weiterlesen …
/ / Überwachung
Airbnb Überwachung für weniger Lärm

Airbnb Überwachung zur Lärmvermeidung

Wilde Partys, wütende Nachbarn. Das steht bei Airbnb und ähnlichen Vermietern immer wieder mal am Programm – und verleiht den Unternehmen ein schlechtes Image. Dagegen möchte Airbnb nun mit einer Art Airbnb Überwachung vorgehen: Ein eigenes Gerät misst das Lärmaufkommen und warnt ab einem gewissen Wert den Unterkunftsbesitzer per App oder SMS. Airbnb Überwachung Beeinträchtigung des Datenschutzes? Das Gerät wird von Airbnb verkauft. Es soll lediglich warnen, nicht aber aufzeichnen. Trotzdem sehen Datenschützer das Angebot sehr kritisch. Auch wenn ein ...
Weiterlesen …
/ / Allgemein, Überwachung
Apples Siri aktiviert sich automatisch

Siri & Co nehmen dich bis zu 19 Mal am Tag auf!

Es ist immer wieder die Rede davon, dass sich Siri, Alexa und andere Echos einfach von selbst aktivieren. Eine Universitätsstudie zeigt nun, dass das tatsächlich so ist – und hat auch gleich erhoben, wie oft Alexa mal eben so zuhört. Du schaust gerade fern und lachst über den idiotischen Bachelor, als plötzlich eine Stimme ertönt: „Heute erwarten wir Temperaturen von 20 Grad.“ Hoppla? Was war das denn? Apples Siri natürlich. Oder Amazons Alexa. Oder wen auch immer du zuhause als ...
Weiterlesen …
/ / Überwachung
Amazon Alexa

Amazon Alexa ausgetrickst: Armband soll vor Spionage schützen

Es ist immer wieder Thema, dass Amazon Alexa & Co uns belauschen. Das geht aber nur, wenn ihr Mikrofon funktioniert. Genau hier setzen nun Wissenschafter an. Sie haben ein Armband entwickelt, dass die Mikros von smarten Aufnahmegeräten „taub“ machen. Amazon Alexa als Spion im Büro? Entstanden ist die Idee aus einem sehr nachvollziehbarer Situation, die sicherlich auch einige von euch sehr gut nachvollziehen können. Denn Wissenschafter Ben Zhao wollte sich unbedingt einen Amazon Echo anschaffen. Einfach nur zum Musik hören ...
Weiterlesen …
Wird geladen...