Swisslos reagierte schnell: Loch gestopft

5. Dezember 2006, 12:34
  • security
image

Gestern deckte der bekannte Blogger Bloggintom --http://www.

Gestern deckte der bekannte Blogger Bloggintom eine ziemlich gravierende Sicherheitslücke auf den Webseiten von Swisslos und Swisslotto auf. Die Leute von der Genossenschaft der Interkantonalen Landeslotterie, wie der Betrieb eigentlich heisst, nahmen den Hinweis ernst und reagierten rasch. Der IT-Dienstleister Swisscom hatte die Lücke, es ging um "Cross-Site Scripting", bereits um etwa 19 Uhr geschlossen.
Swisslos-Sprecherin Regula Huber-Süess sandte uns heute Morgen übrigens auch eine recht ausführliche Beschreibung, wie es zu dem Fehler kam: "Ursächlich für das Verhalten war die Anzeige des eingegebenen Suchbegriffes ohne diesen zu "escapen". Somit konnte der injizierte JavaScript Befehl vom Browser ausgeführt werden und hat zu dem beschriebenen Verhalten geführt."
Andere Felder als das Feld für die Suche sind gemäss Swisslos nicht betroffen, da sie durch Plausibilitäten geschützt (z.B. Beschränkung der Anzahl Zeichen) seien. Trotzdem wird Swisscom in den nächsten Wochen die Swisslos-Seite und -Applikation nochmals auf Security und "Cross-Site Scripting" abkopfen.
Etwas zu lernen gibt es auch. Huber-Süess: "Bereits vor einigen Wochen wurde anlässlich eines Lasttestes, bzw. nach dem Lasttest, noch ein automatisierter Sicherheitstest durchgeführt. Dieser hatte diese Möglichkeit bzgl. "cross site scripting" schon aufgedeckt, konnte aber aufgrund der aktuellen Prioritäten (Projekt Release 2 zur Einführung von Euro Millions) nicht sofort behoben werden."
Bei "Cross-Site Scripting" geht es darum, dass man bei unsorgfältig gebauten Webapplikationen Software-Code in ein Feld einfügen und starten kann, das gar nicht dafür vorgesehen ist. Damit können Hacker dann Daten aus der Web-Applikationen ziehen und diese beispielsweise für Identitätsklau ("Phishing") verwenden. (hc)

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022