Internet & Webdienste

21.01.2008 11:03

Sicherheitslücke bei der RIAA - Website "entrümpelt"

Der Verband der US-Musikindustrie RIAA ist gerade bei Filesharern wegen seines aggressiven Vorgehens gegen deren oft illegale Aktivitäten wenig beliebt. Dementsprechend häufig sind auch Versuche, der Lobbyorganisation Schaden zuzufügen und sei es durch Hackangriffe auf deren Website.

Am Wochenende ist es Hackern anscheinend ein Mal mehr gelungen, die RIAA-Website erfolgreich zu attackieren. Mit Hilfe einer so genannten SQL-Injection wurden sämtliche Inhalte von der Homepage des US-Musikverbands gelöscht. Inzwischen wurden alle Informationen wiederhergestellt.

Die Seite befindet sich mittlerweile also wieder im Ausgangszustand. Mit der SQL-Injection war es zuvor offenbar gelungen, die gesamte Datenbank zu löschen. Verschiedene Internetnutzer hatten zuvor bereits mit dem Einfügen eigener Inhalte herumexperimentiert.

Bisher ist nicht klar, ob die Datenbank tatsächlich von Außenstehenden gelöscht wurde. Die RIAA könnte genauso gut selbst die Löschung der Datenbank veranlasst haben, weil diverse Surfer wie erwähnt versucht hatten, Modifikationen an der Seite vorzunehmen.

In diversen Diskussionsforen hält man dies jedoch für unwahrscheinlich, da der Verband die Seite auch einfach vorübergehend vom Netz hätte nehmen können, um die Lücken zu beseitigen. Alles begann, als ein Link die Runde machte, der Millionen Anfragen an die MySQL-Datenbank der RIAA-Homepage auslöste.

Roland Quandt

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

SQL Injection? Das war vor über 5 Jahren mal aktuell. Ist echt ne schwache Leistung wenn man heute immer noch nicht auf die SQL Injection validiert (gerade bei so ner vielbesuchten und -gehassten Seite, die ein häufiges Ziel von Attacken ist).

[re:1] am

@pkon: Es kommt auf die Größe der Seite an, in wie weit sie anfällig sein kann. Es gibt zwar kein Pardon für die Progger, die diese Seite geschrieben haben, denn SQL-Injection ist nun mal ein Problem, dem man entgegnen muss. Leider gibts immernoch keine fertige Lösung gegen die Injections, man muss immer selbst was basteln und gerade bei großen Seiten kann es man vergessen werden einen Wert oder eine Variable auf Injection-Code zu prüfen. Ich kenn das selbst, ist mir auch schon passiert. Vorteil ist immerhin, das die RIAA jetzt weiss, das ihre Seite lückhaft ist. Bin mal gepannt, ob die dann auch mal dafür plädieren, dass MySQL sich etwas einfallen lassen soll, damit solche Injections nicht mehr möglich sind. Sonst befehlen die ja auch alles mögliche. Warum nicht mal was sinnvolles!

[re:2] am

@pkon: Nö, leider ist es immer noch absolut aktuell das Thema, weil man sich echt umgewöhnen muß, wie man SQL-Abfragen und -Befehle konstruiert, um das zu verhindern. Auch das Suchen auf Bugs ist nicht ganz trivial.

[re:3] am

@Hawk18x: Es gibt bereits fertige Funktionssets die SQL-Befehle auf Injection Versuche prüfen. Man muß sie nur einbinden. Problematisch ists natürlich wenn die Konstrukte die verwendet werden noch nicht bekannt sind.