2,2 Millionen URLs bei URL-Verkürzerdienst manipuliert
Unbekannte sind in die Systeme des URL-Verkürzers cligs (cli.gs) eingebrochen und haben rund 2,2 Millionen URLs auf einen bei freedomblogging.com gehosteten Beitrag des Bloggers Kevin Sablan umgeleitet.
- Daniel Bachfeld
Unbekannte sind in die Systeme des URL-Verkürzers cligs (cli.gs) eingebrochen und haben rund 2,2 Millionen URLs auf einen bei freedomblogging.com gehosteten Beitrag des Bloggers Kevin Sablan umgeleitet. URL-Verkürzer machen aus einer langen URL eine kurze, leichter weiterzugebende URL, bei der aber das eigentliche Ziel nicht mehr erkennbar ist. Weitere bekannte Dienste sind is.gd, TinyURL und andere.
Nach Angaben des cligs-Betreibers Pierre Far ließen sich aber mehr als 90 Prozent der ursprünglichen URLs restaurieren. Die möglicherweise aus Kanada stammenden Angreifer haben offenbar eine Sicherheitslücke in der Cligs-Editing-Funktion benutzt, um die URLs zu manipulieren.
Die Funktion wurde zwischenzeitlich deaktiviert. Ein neu aufgesetztes System soll die Schwachstelle nicht mehr aufweisen. Bei Cligs angelegte Nutzerkonten sollen die Angreifer nicht kompromittiert haben. Gespeicherte Passwörter sollen ohnehin verschlüsselt in der Datenbank abgelegt sein – mit welchem Algorithmus gibt Far indes nicht an.
Diesmal führte der Aufruf einer verkürzten URL zwar nur auf eine harmlose Seite, beim nächsten Mal kann es aber auch ein virulenter Server sein, der die PCs der Besucher mittels diverser Exploits infiziert. Sicherheitsexperten monieren seit Längerem, dass die URL-Shortener-Dienste den Blick auf das wirkliche Ziel verschleiern. Ratschläge, nur bekannte oder vertrauenswürdige Webseiten zu besuchen, werden damit obsolet. Die mittlerweile inflationär auftauchenden Dienste sind insbesondere durch die begrenzte Zahl von Zeichen bei Twitter in Mode gekommen. In vielen Fällen werden die Dienste von Privatpersonen mit wenig Budget betrieben, die sich um die Sicherheit ihrer Systeme wenig Sorgen machen.
Wer den verkürzten URLs nicht traut, kann URL-Verlängerer benutzen. Heise Security stellte kürzlich in seiner Rubrik "lost+found" ein Add-on für Firefox vor, das für viele Dienste eine Vorschau bietet, wohin der Link führt. Die Rubrik "lost+found" stellt Infos zusammen, die zu kurz für eine Meldung, aber auch zu schade für den Mülleimer sind. Bisher sind erschienen:
- lost+found: Hauseinbrecher, IP-Adressen, Botnetze
- lost+found: Missgunst, Untergrund, Datenverlust, Java
- lost+found: Hackcontest, Einfallstore, Comics, Bankautomaten
- lost+found: Zufallszahlen, URL-Verlängerer, WebDAV
- lost+found: Botnetze, Space Invaders, Statistiken
- lost+found: Follower, vergebliche Anstrengungen, Risiko-Test
- lost+found: Tool-Sammlung, Responsible Disclosure, Sicherheitsfragen
- lost+found: Bootkits, verdeckte Ermittler, Sysinternals-Tools
- lost+found: Bären, Fehleinschätzungen, Panik
- lost+found: Wurmschäden, Exploits, Online-Scanner
- lost+found: Friedenstauben, Aquarien, SCADA
- lost+found: Apache, Google, Conficker
(dab)
