Interpol gehackt, sächsischer Minister zur Fahndung ausgeschrieben

Hacker, Schwachstelle, Polizei, Behörde, Interpol Bildquelle: Screenshot Interpol
Wie macht man am besten auf Missstände aufmerksam? Richtig, man macht sie öffentlich. So ist auch Matthias Ungethüm vorgegangen. Er hatte sich zunächst an Interpol gewandt, um eine entdeckte Schwachstelle auf der Webseite der Polizeibehörde zu melden.
Das war bereits am 30. Mai. Nach der fehlenden Reaktion von Seiten Interpols hat Ungethüm dann gehandelt. Er erstellte mit Hilfe der Schwachstelle eine neue Seite, die perfekt an das Aussehen der Interpol-Seite angepasst war und hat dort einen neuen Fahndungsaufruf veröffentlicht: Und zwar nach dem Sächsischen Staatsminister des Inneren Markus Ulbig, mit dem Hinweis "Gesucht von den deutschen Strafverfolgungsbehörden". Ulbig stehe im Verdacht, so war es dann auf der Interpol-Seite zu lesen, der "versuchten Massenüberwachung von 55 000 Mobiltelefonen und Sammeln von mehr als einer Million Verbindungsdaten". Markus Ulbig bei InterpolWer den manipulierten Link hatte, konnte den Fahndungsaufruf für den Sächsischen Staatsminister Markus Ulbig sehen und musste glauben, es sei ein offizieller Aufruf.

Cross Site Scripting

Schließlich wandte er sich an die Medien und erklärte den Trick der dahintersteht mit dem er jede beliebige Person auf die Fahndungsliste von Interpol stellen konnte. Ein "Einbruch" in das System von Interpol ist dafür nämlich gar nicht nötig - Ungethüm verlängerte nur die URL nach Belieben - Cross Site Scripting und die fehlende Kontrolle von Interpol machte es möglich. Damit täuscht man über das Versenden eines entsprechend manipulierten Links per Mail, den sozialen Netzwerken oder anderen Kommunikationswegen den Besuchern der Seite nur vor, dass es sich bei dem Inhalt um eine offizielle Meldung handelt.

Die Interpol-Server sperrten bislang entsprechende Zugriffe nicht. Damit war die Seite eine potentielle Virenschleuder, erklärte Ungethüm. Denn so wie er den Ministerpräsidenten auf die fingierte Fahndung setzte, hätten Betrüger die Manipulation der URLs für die Verbreitung von Trojanern, Viren und Co. verwenden können.

Erst nach dem Bericht von MDR und Dresdner Morgenpost wurde die Lücke dann von Interpol eiligst geschlossen. Schon heute Vormittag war der Spuk damit vorbei.

Siehe auch: Uni-Drucker spuckten nach Hack an Hitlers Geburtstag Hetzschriften aus Hacker, Schwachstelle, Polizei, Behörde, Interpol Hacker, Schwachstelle, Polizei, Behörde, Interpol Screenshot Interpol
Diese Nachricht empfehlen
Kommentieren32
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Alfred Hitchcock - Collection [7 DVDs]
Alfred Hitchcock - Collection [7 DVDs]
Original Amazon-Preis
16,39
Im Preisvergleich ab
?
Blitzangebot-Preis
12,00
Ersparnis zu Amazon 27% oder 4,39

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden