calendar
« Jan12345678910111213141516171819202122232425262728 Mrz »

20 Sicherheitslücken in Social Networks

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Vorgestern ging socialnetworksecurity.org an den Start. Die Autoren haben dort 20 Sicherheitslücken in verschiedenen Social Network Sites dokumentiert, von denen bisher nur eine als “gefixt” markiert ist. Unter anderem sind XING, Facebook und Wer-kennt-wen betroffen. Meistens handelt es sich um XSS-Lücken, aber bei Wiealt.de gibt es zum Beispiel auch eine (m. E. noch peinlichere) SQL-Injection-Möglichkeit. Ganz interessant dürften auch die Möglichkeiten zum Passwort-phishing über Einbinden von Access-geschützten Ressourcen sein.

Alle Lücken sind mit einer Erklärung und einem Proof-of-Concept-Request dokumentiert. Die anonymen Betreiber schreiben:

Die Hauptziele dieses Projektes sind, den Benutzern von sozialen Netzwerken aktuell vorhandene Sicherheitsluecken aufzuzeigen und ihnen Tipps mit auf den Weg zu geben, wie sie sich selbst schuetzen koennen – auf der anderen Seite sollen aber auch die Betreiber der sozialen Netzwerke hiermit aufgefordert werden, sich deren Gefahren endlich bewusst zu werden und proaktiv die Gesamtsicherheit ihrer Portale und somit auch die Sicherheit der Benutzerdaten zu steigern.

und rufen dazu auf, weitere Sicherheitslücken einzureichen, um Druck auf die Betreiber sozialer Netzwerke auszuüben:

Jetzt seid ihr an der Reihe proaktiv zu reagieren und euch mit vollem Engagement um die Sicherheit eurer Plattform und somit auch der Benutzerdaten zu kümmern.

Disclaimer: Ich habe keine Accounts bei den betroffenen Netzwerken und konnte die vermeintlichen Lücken daher auch nicht prüfen. Ich möchte auch nicht dazu aufrufen, sie zu missbrauchen – aber falls jemand die Proofs-of-Concept schon kurz getestet hat, freue ich mich über Bestätigung in den Kommentaren, dass die Seite kein Hoax ist.

flattr this!

von netzpolitik.org » Datenschutz, gepostet am Montag, 21. Februar 2011 um 14:09
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: