Blogger und 'Beobachter' gegen UBS (Update)

2. Februar 2007 um 11:42
  • security
  • ubs
image

"Die UBS ist nicht ganz dicht" titelt der 'Beobachter' heute - die Grossbank sieht das anders.

"Die UBS ist nicht ganz dicht" titelt der 'Beobachter' heute - die Grossbank sieht das anders.
"Die UBS ist nicht ganz dicht" titelt der 'Beobachter' heute keck. Es geht in der Story. Bei den meisten der Lücken handelt sich um Verletzbarkeiten durch "Cross Site Scripting" (XSS), respektive die Einschleusung von externem Inhalt in eine Webseite über ein Dialogfeld. Potentiell gefährllich sind solche Lücken, weil man einem Benützer eine "echte" Seite vorgaukeln kann. Man muss den Text aber ziemlich genau lesen, um herauszufinden, dass die entdeckten und teilweise geschlossenen Lücken sich alle auf Webseiten von UBS ausserhalb der Schweiz befinden.
Der Beobachter bretzelt die Sache dann ziemlich auf. Das Beispiel zeige, "wie einfach man Bankkunden abzocken kann", wird ein Sicherheitsexperte zitiert. Die UBS hingegen beharrt in einem Statement darauf, dass alle XSS-Risiken beseitigt seien und das UBS e-banking-Kunden gegen jegliches Phishing (Identitätsdiebstahl) geschützt seien.
Was darf ein Blogger?
Soweit so gut. Dass "Cross Site Scripting" extrem schwierig und nur bei grösster Sorgfalt mit 100-prozentiger Sicherheit verhindert werden kann, ist bekannt. Ebenso, dass der Mega-Konzern UBS weltweit Abertausende von Webseiten betreibt.
Doch interessant scheinen uns die Vorgänge zwischen dem Security-Experten und Blogger Stöckli und der Grossbank. Stöckli, der "als Hobby", wie er sagt, auch eine Security-Firma betreibt, meldete im Dezember gewisse Lücken auf einer australischen Webseite der Bank. Diese bedankte sich und stopfte die Löcher, Stöckli veröffentlichte seinen Fund auf seinem Weblog. Doch er suchte und fand im Januar weitere Lücken, meldete diese wieder - bis es der Bank offenbar zu bunt wurde. Man wolle die Korrespondenz "hiermit abschliessen", beschied UBS dem Security-Spezialisten.
Dieser ging dann offenbar mit der Story zum Beobachter und schreibt nun in seinem Internet-Tagebuch: "Leider gibt es noch viele weitere Sicherheitslücken (ca. 30!) auf den UBS Seiten. Kostenlos werde ich mich aber in Zukunft nicht nach diesen auf die Suche machen."
Update: "Wieviele Sicherheitslücken eträgt es für eine Grossfirma?"
Kaum haben wir obigen Text veröffentlicht, meldete sich auch schon Peter Stöckli. Er hat den oben zitierten Satz aus seinem Blog gestrichen, da er falsch verstanden werden kann. Natürlich wisse er nicht, wieviele Sicherheitslücken es auf den weltweiten UBS-Seiten gibt, aber er vermutet, dass es "noch viele weitere sind."
Ausserdem stellt Stöckli klar, dass nicht er mit der Geschichte zum Beobachter gegangen ist, sondern dass die Zeitschrift die Story selbst auf seinem Blog entdeckte. Zu seiner Motivation, auf weltweiten UBS-Seiten nach Sicherheitslücken zu suchen, sagt Stöckli: "Ich habe das erste Loch per Zufall entdeckt. Als ich dann weitere Probleme mit extrem wenig Zeitaufwand fand, machte mich das stutzig. Im Grunde genommen geht es mir um die Frage, wieviele Sicherheitslücken es für eine Grossfirma wie UBS erträgt." (Christoph Hugenschmidt)

Loading

Mehr erfahren

Mehr zum Thema

image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024