Sie befinden sich im Archiv von Sicherheit-Online.org!
    Hier gelangen Sie in das neue Portal mit aktuellen Beiträgen: Sicherheit-Online.org v2

Kritische Sicherheitslücke bei RTL beseitigt

by Heiko Frenzel
Gelesen 1542 mal
Artikel bewerten
(4 Stimmen)

rtl-sicherheitsluecke-sqli-iVor wenigen Tagen habe ich RTL über eine kritische Sicherheitslücke innerhalb des Internetportals unter rtl.de informiert (Bericht bei gulli). Der Grund für meinen "Einsatz" war ein - zuvor leider erfolgloser - Versuch vom Kollegen "gehaxelt", die Betreiber auf das Sicherheitsleck aufmerksam zu machen. Die Sicherheitslücke befand sich in einem Testbereich bzw. bei einer veralteten Anwendung des Webportals und ermöglichte einem Angreifer den Zugriff auf eine der Datenbanken des TV-Senders. ...

Mich erreichte eine Mail von "gehaxelt" mit dem Hinweis, dass RTL eine kritische Sicherheitslücke auf deren Webpräsenz ignoriert. Nach einem kurzen Austausch habe ich die Sache auf die ToDo-Liste gesetzt und wollte mir das Ganze einmal genauer ansehen. Nach einer eigenen Überprüfung der Schwachstelle, konnte ich die Problematik bestätigen und habe umgehend die Betreiber über das Sicherheitsproblem informiert. Da Hinweise per Mail zuvor unbeantwortet blieben, wollte ich mich per Telefon, direkt an den Zuständigen weiterleiten lassen. Nach gefühlten 100 Warteschleifen und ebenso vielen Erklärungen gegenüber der Gesprächspartner, warum ich denn nun überhaupt anrufe, teilte man mir die Durchwahl zu Herrn Jacoby - dem Leiter der IT-Abteilung - mit.

Bei einem recht angenehmen und informativen Telefongespräch, habe ich die Problematik erklärt und die Sicherheitslücke direkt am Telefon demonstriert. Zunächst wollte man nicht glauben, dass ein Angriff bzw. ein Eindringen in die Datenbank durch die genannte Schwachstelle möglich sei. Mit Einverständnis meines Gesprächspartners, konnte ich dies allerdings schnell aus der Welt schaffen. Binnen weniger Sekunden hatte ich Zugriff auf die Datenbank und konnte Informationen zum Inhalt mitteilen. Man erkannte den Fehler und sagte mir, dass man die Problematik in der nächsten Stunde beseitigen wird.  

Laut Herrn Jacoby war es wohl ein internes Problem mit der Kommunikation. Die Informationen des Hinweisgebers haben die IT-Abteilung offensichtlich nicht erreicht. Leider ist dies gerade bei größeren Unternehmen recht häufig der Fall. Dies musste ich selbst schon in unzähligen Fällen feststellen. Die Schwachstelle wurde aber - wie am Telefon zugesagt - binnen kürzester Zeit beseitigt. Man hat sich mehrfach für die Information und das Engagement bedankt.

Zuletzt geändert am: Montag, den 04. Juni 2012 um 17:57 Uhr
Heiko Frenzel

Heiko Frenzel

Gründer von Sicherheit-Online.org und Inhaber von doo!media

Website: www.doo-media.de/
Info: Kritische Sicherheitslücke bei RTL beseitigt | 100% / 100% aus (4 Stimmen) | 

Einen Kommentar hinterlassen

Hier können Sie Ihren Kommentar zum Beitrag hinterlassen. Ihr Kommentar wird nach dem Absenden von einem Moderator überprüft und anschließend freigegeben. Das Ausfüllen der markierten (*) Formularfelder ist für das Absenden eines Kommentars notwendig.

Sie befinden sich hier: Aktuelle Themen Kritische Sicherheitslücke bei RTL beseitigt