l+f: Neulich im Netzwerk des US-Verteidigungsministeriums ...
Huch! Wie bin ich den jetzt hier hingekommen?
Ein Bug-Jäger verspricht sich eine Prämie des US-Militärs und beginnt seine Suche auf der öffentlichen Webseite goarmy.com. Plötzlich landet er ohne sich authentifizieren zu müssen auf einer internen Webseite des US-Verteidigungsministeriums.
Schuld daran soll ein Fehler im System und ein offener Proxy gewesen sein. Der Sicherheitsforscher habe diese beiden an sich nicht so gefährlichen Schwachstellen unbeabsichtigt so miteinander kombiniert, dass er Zugang zu der internen Webseite hatte, erläutern die Autoren eines Berichtes auf der Bug-Bounty-Plattform HackerOne.
Die Zuständigen sollen zügig reagiert und die Schwachstellen geschlossen haben.
lost+found: Die heise-Security-Rubrik fĂĽr Kurzes und Skurriles aus der IT-Security
(des)
