Hacker manipulieren Schalke-Seite

Unbekannte haben auf der Internet-Seite des FC Schalke 04 eine Meldung über die sofortige Entlassung von Stürmer Kevin Kuranyi veröffentlicht. Offenbar sind sie über eine Lücke im CMS Typo3 eingedrungen.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Unbekannte haben auf der Internet-Seite des FC Schalke 04 während des Länderspiels am Mittwochabend zwischen Deutschland und Norwegen (0 : 1) eine Meldung über die sofortige Entlassung von Stürmer Kevin Kuranyi veröffentlicht. Kuranyi sei nach einer Sondersitzung der Schalker Vereinsführung freigestellt worden. Schalke dementierte die Meldung jedoch umgehend und sperrte die Meldung: "Mit krimineller Energie ist die Homepage des FC Schalke 04 gehackt worden. Eine dort platzierte Meldung, wonach Kevin Kuranyi von seinen vertraglichen Pflichten entbunden und er vom Verein freigestellt worden sei, entbehrt jeglicher Grundlage und ist frei erfunden", teilte der Verein mit. Derzeit wird die Webseite überarbeitet.

Offenbar nutzten die Eindringlinge die seit Dienstag bekannte Sicherheitslücke im Content-Management-System Typo3 aus, um Zugriff zu erhalten und eine als Eilmeldung gekennzeichnete Nachricht zu verfassen. Auch die Webseite des CDU-Politikers und Innenministers Wolfgang Schäuble wurde bereits am Dienstagabend durch die Lücke manipuliert.

Es ist damit zu rechnen, dass noch weitere Websites gehackt werden, die Typo3 einsetzen. In der offiziellen Referenzliste von Typo3 sind unter anderem mehrere große deutsche Unternehmen wie Lufthansa und T-Online zu finden. Die Lücke ermöglicht den Zugriff auf beliebige Dateien auf dem Server – darunter auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank im Klartext eingetragen sind. Ursache des Problems ist ein Fehler in der jumpUrl-Funktion zum Zugriff auf Dateien, die fälschlicherweisen einen geheimen Hash offenbart, der unautorisierten Personen den Zugriff auf beliebige Dateien eigentlich verwehren soll. Ein Update auf neue Typo3-Versionen behebt das Problem.

Siehe dazu auch:

(dab)