zurück zum Artikel

16-jähriger demonstriert Sicherheitslücken bei 17 Banken

Jürgen Schmidt

Als ein Leser mitteilte, er habe Sicherheitslücken auf fast allen Banken-Seiten gefunden, wollten wir ihm erst nicht glauben. Das änderte sich, als wir die behaupteten Schwachstellen der 17 Banken auf seiner Liste in Augenschein nahmen.

Sicherheitslücken bei Banken (0 Bilder) [1]

[2]

Die nächste Ausgabe des c't magazins [3] berichtet, dass der 16-jährige Schüler Armin Razmdjou auf den Web-Seiten von 17 Banken Sicherheitslücken entdeckt hat. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Probleme, die eine besonders raffinierte Form des Phishings ermöglichen.

Er habe sich gewundert, dass heise Security bis vor etwa zwei Jahren intensiv über derartige Probleme berichtet [4] hatte – mittlerweile aber so gut wie nichts mehr darüber zu lesen sei, erklärte der Zwölftklässler. Aus Neugier hat er selbst eine Reihe von Bankenseiten untersucht. In etwa 4 von 5 Fällen wurde er fündig und entdeckte eine Sicherheitslücke. heise Security konnte alle Probleme nachvollziehen und benachrichtigte die betroffenen Banken. Alle gemeldeten Lücken sind mittlerweile geschlossen.

Die gefundenen Cross-Site-Scripting-Lücken sind nicht geeignet, direkt Daten auf den Servern der Banken zu kompromittieren. Ein Einbruch in deren Systeme wäre damit nicht möglich gewesen. Dennoch sind sich Sicherheitsexperten einig, dass Cross-Site-Scripting-Lücken keineswegs ein Kavaliersdelikt darstellen. Der heisec-Artikel Passwortklau für Dummies [5]illustriert die davon ausgehende Gefahr sehr anschaulich. (ju [6])

URL dieses Artikels:
https://www.heise.de/-1104841

Links in diesem Artikel:
[1] https://www.heise.de/bilderstrecke/bilderstrecke_1104823.html?back=1104841;back=1104841
[2] https://www.heise.de/bilderstrecke/bilderstrecke_1104823.html?back=1104841;back=1104841
[3] http://www.heise.de/ct/
[4] https://www.heise.de/news/Viele-Banken-Seiten-weiter-unzureichend-gegen-Missbrauch-gesichert-Update-143847.html
[5] http://www.heise.de/security/artikel/Passwortklau-fuer-Dummies-270910.html
[6] mailto:ju@ct.de

Copyright © 2010 Heise Medien