Persönliche Daten zehntausender Jugendlicher auslesbar

Sicherheitsexperten haben bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren. Entsprechende Hinweise auf mehrere Sicherheitslücken sind den Bloggern von Netzpolitik.org nach eigenen Angaben vor einer Woche zugespielt worden. Der Reiseveranstalter sei daraufhin kontaktiert und mit allen relevanten Informationen zu den ausgemachten Angriffsstellen und einer Datenbank-Kopie versorgt worden.

Das Unternehmen habe sofort reagiert und die mit der Firmen-Homepage verlinkte Community-Seite noch in der Nacht zum Samstag vom Netz genommen. Das Forum ist derzeit noch immer offline. Ruf beklagte gemäß den Bloggern, dass bei den Angriffen "in großem Umfang Daten manipuliert wurden" und der Firma "somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde".

Die Angriffe wurden laut Netzpolitik.org mit gängigen Methoden wie Cross-Site-Scripting oder SQL Injection geführt. Darüber hinaus seien die Passwörter der hauptsächlich jugendlichen Benutzer unverschlüsselt in der Datenbank gespeichert worden. So hätten weitere personenbezogene Angaben wie Geburtsdaten, Mail-Adressen, Namen, Pseudonyme, eigene Webseiten oder Adressen ausgelesen werden können. Auch das Lesen privater Nachrichten der Community-Mitglieder sei möglich gewesen, heißt es.

Wie lange die Daten zugänglich waren, ist derzeit nicht klar. Allerdings wurden bereits in einem Kurzvortrag des 23. Chaos Communication Congress (23C3) – also vor 3 Jahren – Sicherheitsprobleme bei Ruf thematisiert. Der Ruf-Jugendreisen-Fall weist Parallelen zu den Schwachstellen beim Schülernetzwerk haefft.de auf, die der Chaos Computer Club (CCC) Anfang Dezember publik gemacht hatte. (pmz)