Sicherheitslücken entdeckt: Webhoster schützen nicht genug vor Angreifern

Websites boomen nach wie vor. User kaufen Domains wie Sand am Meer und das Erstellen einer Website ist mit einfachen CMS-Systemen beinahe ein Kinderspiel. Anwender verlassen sich dabei auf ein dahinter stehendes Sicherheitssystem, das sie effektiv vor gefährlichen Angriffen schützt. Wie steht es eigentlich um die Hackbarkeit von Domains? Wie gut der von Webhostern verwendete Schutz tatsächlich ist, erfährst du in diesem Artikel. 

Auf Entdeckungsreise

Domains sind nicht so gut gegen Angriffe abgesichert wie wir denken. Der Sicherheitsforscher Paulos Yibelo hat sich auf Entdeckungsreise begeben und ist fündig geworden. Es gelang ihm relativ einfach, den partiell vorhandenen CSRF-Schutz (Cross-Site- Request-Forgery) zu umgehen. Bei CSRF wird das System so angegriffen, dass eine Transaktion auf eine Webanwendung durchgeführt wird. Ein untergeschobener HTTP-Request sorgt dafür, dass das Opfer die gewünschte Aktion durchführt. Das Ganze geschieht während der Anmeldung des Geschädigten.

Entweder der Webhoster macht seine Aufgaben oder du wirst gehackt

Und dann heißt es bald darauf HACKED! Fünf der weltweit größten Webhoster waren von den gravierenden Sicherheitslücken betroffen. Bei Dreamhost, Bluehost, HostGator, OVH und iPage tauchten Schwachstellen auf. Insgesamt sind dort 7 Millionen Domains registriert. Im Falle eines großangelegten Angriffs hätte dies einen enormen Schaden verursachen können. Ganze Websites können auf diesem Wege übernommen und manipuliert werden. Wie ist das möglich?

Wenn Sicherheitsstandards für die Katz sind

Das Einhalten einfacher Sicherheitsstandards ist nicht selbstverständlich. Webhoster nehmen Logins und Kontoänderungen teilweise wohl auf die leichte Schulter. Die Abfrage des Passwortes wird anscheinend nicht immer gemacht und so haben Angreifer wirklich ein leichtes Spiel.

Host in the USA

Die Webhoster sitzen fast alle in den USA und haben relativ schnell auf die Sicherheitslücken reagiert. Alle bis auf einen Anbieter (der europäische Hoster OVH) haben auf das Resultat des Tests mit einer umgehender Schließung der Sicherheitslücken geantwortet. Wie ein ähnlicher Test wohl am DSGVO-Kontinent Europa ausfallen würde?

FAZIT

Domains sind keinesfalls immer ausreichend gegen Angriffe geschützt. Websites können sogar so manipuliert werden, dass es zu Phishing, SPAM-Versand oder Brute-Force-Angriffen auf weitere Ziele kommt. Es wird mitunter Malware auf den Computern der Website-Besucher installiert. Die Folgeschäden sind nicht gerade unerheblich. Verlasse dich nicht automatisch darauf, dass jeder Webhoster seine Arbeit macht.  Schütze deine Daten!

Quelle: heise.de; Foto: pixabay.com

 

 


Erstellt am: 19. Januar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Allgemein
Biometrische Daten Fingerabdruck

Biometrische Daten: Wie sicher sind sie?

Futuristische Augenscanner und sprachgesteuerte Türen kannten wir früher höchstens aus Spionage- und Scienc-Fiction-Blockbuster. Heute ist das ganz anders: Wir können verschiedenste Geräte mit unseren Gesichtern und Daumenabdrücken entsperren – biometrische Technologie ist die neue Normalität und wird immer mehr verwendet. Oft wird sie als die einfachste und sicherste Möglichkeit gepriesen, ein Smartphone oder einen hoch geheimen Ort zu schützen. Schließlich kann deine Fingerabdrücke nun wirklich niemand stehlen ... oder? Ganz so einfach ist es aber tatsächlich nicht. Denn kaum jemand ...
Weiterlesen …
/ / Allgemein
Allsehendes Auge

Überwacht dich die CIA?

Die Überwachung durch Regierungen wird immer massiver. Sowohl demokratische als auch autoritäre Regierungen spionieren uns regelmäßig aus. Aber beobachtet dich jetzt gerade in diesem Moment ein Regierungs-Spion? Überwachung kann sehr schwierig festzustellen sein, aber es gibt Wege, um dich davor zu schützen. In diesem Artikel erfährst du, welche Zeichen es für staatliche Überwachung gibt und wie du dieser entkommen kannst. Hinweise auf staatliche Überwachung Wenn du nichts Kriminelles getan hast, dass dich auf die CIA-Watchlist gebracht hat, ist es eher ...
Weiterlesen …
/ / Datenschutz
Homeoffice

Datensicherheit: So schützt du dich vor Angriffen der nächsten Generation

Mit der steigenden Internetnutzung steigt leider auch die Zahl von Cyberangriffen. Security-Experte Aamir Lakhani von Fortinet zeigt im folgenden Artikel Best Practices zur Sicherung von Unternehmensdaten gegen Bedrohungen der nächsten Generation, wie z. B. Edge-Access-Trojaner (EATs). Hacker konzentrieren sich vermehrt auf Cloud & Homeoffice Cyberkriminelle sind ständig auf der Suche nach potenziellen neuen Angriffsmöglichkeiten und der nächsten sich bietenden Gelegenheit, diese Attacken auch umzusetzen. Derzeit investieren Hacker & Co erhebliche Ressourcen, um (durch die Corona-Pandemie massiv) neu entstehende Netzwerk-Edge-Umgebungen, wie ...
Weiterlesen …
/ / Datenschutz
Ist das Homeoffice wirklich sicher?

Ist das Homeoffice wirklich sicher?

Aufgrund der Corona-Pandemie sind viele Mitarbeiter im Heimbüro aktiv - derzeit Hunderttausende auf der ganzen Welt. In der Regel verfügt das Netzwerk im Büro aber über eine höhere Sicherheit und bessere Geräte als im Home-Office - was ein höheres Risiko für Cyberkriminalität darstellt. Was sagen Firmen dazu? Das Leibniz-Zentrum für Europäische Wirtschaftsforschung in Mannheim führte eine Umfrage unter Unternehmen über die Veränderungen durch, die die Arbeit von zu Hause aus mitbringt. In großen Unternehmen führt die Quarantäne zu einer umfassenderen ...
Weiterlesen …
Wird geladen...