Ärger um JavaScript-Sicherheitslücke auf Vodafone-Webseite

Logo, Ifa, Vodafone, IFA 2014, Fahnen Bildquelle: Vodafone
Der Provider Vodafone hat nach einem Medienbericht ein großes Sicherheitsproblem auf seiner Webseite geschlossen. Ein Kunde hatte entdeckt, dass sich mit beliebigem JavaScript-Code die Vodafone-Webseiten manipulieren ließen. Das berichtet jetzt das Online-Magazin Heise. Es geht dabei um eine bekannte JavaScript-Schwachstelle, die es einem Hacker ermöglicht hätte, beliebigen Code in die Vodafone-Webseiten zu integrieren. Demnach wäre es denkbar, dass Unbefugte zum Beispiel einen Keylogger auf den Seiten platzieren und so Nutzerdaten wie persönliche Passwörter ausspähen. Mittlerweile soll das Problem behoben worden sein, doch auf dem Weg dahin bekleckerte sich Vodafone nicht gerade mit Ruhm.


Kunde hatte die Schwachstelle entdeckt

Dabei hatte sich ein Vodafone-Kunde, der selbst Quality Assurance Engineer ist, zunächst an Vodafone gewendet, um das Unternehmen auf einen fatalen Fehler hinzuweisen, der Nutzerdaten gefährdete und theoretisch weitreichende Folgen haben konnte. Es kam aber keinerlei Reaktion auf die Kontaktversuche und die Erklärungen, die der Kunde an das Unternehmen sendete. Nachdem Vodafone sich nicht meldete, schrieb der Kunde die Redaktion von c't und Heise Security an, die sich des Falles annahmen. Wie sich herausstellte, konnte im August ohne Probleme von der Redaktion eingeschleuster Code auf den Vodafone-Webseiten ausgeführt werden.

Hohes Missbrauchspotential

Heise erkannte dabei so wie der Kunde ein hohes Missbrauchspotential und erklärte das an einem konkreten Beispiel, mit dem Internetbetrüger immer wieder versuchen, Kasse zu machen:

"Im Fall von Vodafone wäre es höchst­wahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten. Das ist eine gängige Methode, um schnelle Kasse zu machen: Angreifer lassen Rufnummern zu teuren Premiumrufnummern oder ins Ausland umleiten und verdienen an den horrenden Verbindungskosten mit. Die Opfer bemerken den Betrug häufig erst mit der nächsten Telefonrechnung, die astronomisch hoch ausfällt", so Heise.

Vodafone meldete sich beim Kontaktversuch von Heise zumindest schnell zurück. Schließlich gab man bekannt, dass die Sicherheitslücke bekannt war und dass man sie mittlerweile beheben konnte. Zudem unterstrich Vodafone, dass es keinerlei Hinweise über Missbrauchsfälle oder Auffälligkeiten in Verbindung mit der Schwachstelle gab. Warum das Unternehmen das nicht auch dem Melder des Sicherheitsproblems einfach transparent mitteilen konnte, bleibt unklar.

Großer Internet-Vergleichs-Rechner
Logo, Ifa, Vodafone, IFA 2014, Fahnen Logo, Ifa, Vodafone, IFA 2014, Fahnen Vodafone
Mehr zum Thema: Vodafone
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:40 Uhr Diyeeni Xeon X5670 Prozessor (Socket: LGA 1366, 6 Kerne, DDR3-800/1066/1333, ECC, 12 MB Cache) CPU für X58, X79 Series Mainboard, 12 nm FertigungsprozessDiyeeni Xeon X5670 Prozessor (Socket: LGA 1366, 6 Kerne, DDR3-800/1066/1333, ECC, 12 MB Cache) CPU für X58, X79 Series Mainboard, 12 nm Fertigungsprozess
Original Amazon-Preis
37,60
Im Preisvergleich ab
37,60
Blitzangebot-Preis
31,96
Ersparnis zu Amazon 15% oder 5,64

Tipp einsenden