Ärger um JavaScript-Sicherheitslücke auf Vodafone-Webseite
Der Provider Vodafone hat nach einem Medienbericht ein großes Sicherheitsproblem auf seiner Webseite geschlossen. Ein Kunde hatte entdeckt, dass sich mit beliebigem JavaScript-Code die Vodafone-Webseiten manipulieren ließen.
Das berichtet jetzt das Online-Magazin Heise. Es geht dabei um eine bekannte JavaScript-Schwachstelle, die es einem Hacker ermöglicht hätte, beliebigen Code in die Vodafone-Webseiten zu integrieren. Demnach wäre es denkbar, dass Unbefugte zum Beispiel einen Keylogger auf den Seiten platzieren und so Nutzerdaten wie persönliche Passwörter ausspähen. Mittlerweile soll das Problem behoben worden sein, doch auf dem Weg dahin bekleckerte sich Vodafone nicht gerade mit Ruhm.
"Im Fall von Vodafone wäre es höchstwahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten. Das ist eine gängige Methode, um schnelle Kasse zu machen: Angreifer lassen Rufnummern zu teuren Premiumrufnummern oder ins Ausland umleiten und verdienen an den horrenden Verbindungskosten mit. Die Opfer bemerken den Betrug häufig erst mit der nächsten Telefonrechnung, die astronomisch hoch ausfällt", so Heise.
Vodafone meldete sich beim Kontaktversuch von Heise zumindest schnell zurück. Schließlich gab man bekannt, dass die Sicherheitslücke bekannt war und dass man sie mittlerweile beheben konnte. Zudem unterstrich Vodafone, dass es keinerlei Hinweise über Missbrauchsfälle oder Auffälligkeiten in Verbindung mit der Schwachstelle gab. Warum das Unternehmen das nicht auch dem Melder des Sicherheitsproblems einfach transparent mitteilen konnte, bleibt unklar.
Großer Internet-Vergleichs-Rechner
Kunde hatte die Schwachstelle entdeckt
Dabei hatte sich ein Vodafone-Kunde, der selbst Quality Assurance Engineer ist, zunächst an Vodafone gewendet, um das Unternehmen auf einen fatalen Fehler hinzuweisen, der Nutzerdaten gefährdete und theoretisch weitreichende Folgen haben konnte. Es kam aber keinerlei Reaktion auf die Kontaktversuche und die Erklärungen, die der Kunde an das Unternehmen sendete. Nachdem Vodafone sich nicht meldete, schrieb der Kunde die Redaktion von c't und Heise Security an, die sich des Falles annahmen. Wie sich herausstellte, konnte im August ohne Probleme von der Redaktion eingeschleuster Code auf den Vodafone-Webseiten ausgeführt werden.Hohes Missbrauchspotential
Heise erkannte dabei so wie der Kunde ein hohes Missbrauchspotential und erklärte das an einem konkreten Beispiel, mit dem Internetbetrüger immer wieder versuchen, Kasse zu machen:"Im Fall von Vodafone wäre es höchstwahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten. Das ist eine gängige Methode, um schnelle Kasse zu machen: Angreifer lassen Rufnummern zu teuren Premiumrufnummern oder ins Ausland umleiten und verdienen an den horrenden Verbindungskosten mit. Die Opfer bemerken den Betrug häufig erst mit der nächsten Telefonrechnung, die astronomisch hoch ausfällt", so Heise.
Vodafone meldete sich beim Kontaktversuch von Heise zumindest schnell zurück. Schließlich gab man bekannt, dass die Sicherheitslücke bekannt war und dass man sie mittlerweile beheben konnte. Zudem unterstrich Vodafone, dass es keinerlei Hinweise über Missbrauchsfälle oder Auffälligkeiten in Verbindung mit der Schwachstelle gab. Warum das Unternehmen das nicht auch dem Melder des Sicherheitsproblems einfach transparent mitteilen konnte, bleibt unklar.
Großer Internet-Vergleichs-Rechner
Thema:
Videos rund um Vodafone
Vodafone Aktienkurs
Beiträge aus dem Forum
Beliebt im Preisvergleich
- WLAN-Router mit Modem:
Weiterführende Links
Neue Nachrichten
- Aus wegen 10 Cent: Sonys geheime PlayStation Controller-Konsole
- Kamera-AirPods vor dem Aus: Apple legt KI-Kopfhörer auf Eis
- Nur noch heute: Neue Weekend-Deals bei Media Markt und Saturn
- Microsoft veröffentlicht wichtiges Windows-11-OOBE-Update
- Samsung SSD 990 vor dem Start: Günstigere SSD ohne Cache geleakt
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Neue iPad-Pro-Modelle 2027: Apple setzt auf KI-Chips und Performance
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!