ProSieben-Benutzerdaten standen offen
Durch einen Fehler auf der Homepage von ProSieben waren Spiel- und Nutzerdaten abrufbar.
Die Homepage von ProSieben wies heute morgen eine eklatante Sicherheitslücke auf. So stellte ein findiger heise-online-Leser fest, dass jedermann auf die Datenbank-Administrationsoberfläche phpMyAdmin der Website zugreifen kann -- von außen, ohne Passwortschutz.
In der Datenbank lagerten neben den Quizfragen und Spielergebnissen diverser Online-Games auch die Benutzerdaten tausender Teilnehmer, darunter die E-Mail-Adressen. Das Sicherheitsproblem ist mittlerweile beseitigt. Bei ProSieben war bisher niemand für eine Stellungnahme zu erreichen. Daher ist auch nicht klar, ob die Lücke schon länger besteht.
Die Sicherheitslücke führt deutlich vor Augen, wie sorgfältig man mit Administrationswerkzeugen wie phpMyAdmin umgehen muss. So sehr sie die Datenbankverwaltung erleichtern, so einfach machen sie es auch Eindringlingen, wertvolle Informationen einzusehen und zu manipulieren. Daher sollte jeder Webmaster darauf achten, dass die Administrationsoberfläche nicht von außen zugänglich ist. (jo)
