Zugangsdaten von Wer-kennt-wen.de-Nutzern geklaut [Update]

E-Mail-Adressen und Passwörter von Nutzern des Kontaktportals lagen frei zugänglich im Internet. Die Betreiber rätseln noch über die Ursache.

In Pocket speichern vorlesen Druckansicht 105 Kommentare lesen
Lesezeit: 2 Min.

Das Anfang der Woche von RTL übernommene Kontaktportal wer-kennt-wen.de hat offenbar mit Sicherheitsproblemen zu kämpfen. heise Security wurde mindestens ein Fall bekannt, in dem es einem WKW-Nutzer gelang, die Zugangsdaten anderer Nutzer zu stehlen.

Dazu präparierte er die WKW-Seite eines Deutschland-sucht-den-Superstar-Teilnehmers mit einem Link auf ein angebliches YouTube-Video. Tatsächlich führte der Link aber zu einem PHP-Skript auf einem externen Web-Server, das versuchte, die Zugangsdaten der Seitenbesucher zu stehlen. Diese legte es dann auf einem frei zugänglichen Web-Server ab, wo sie jeder herunterladen konnte, der die URL kannte. Mit E-Mail-Adresse und Passwort hat er dann Zugang zu alle Daten seiner Opfer auf wer-kennt-wen.de; unter anderem auch auf deren Korrespondenz.

Die heise Security bekannte WKW-Phishing-Seite wurde mittlerweile bereinigt. Der Betreiber von Wer-kennt-wen.de konnte diesen Vorgang jedoch bislang nicht bestätigen und auch Fragen zu näheren Details nicht beantworten. So ist immer noch unbekannt, ob es vielleicht weitere, bösartige WKW-Seiten gibt und wie viele WKW-Nutzer insgesamt betroffen sind. Ob sich der Angreifer auf ein reines Phishing-Szenario mit einer gefälschten Login-Seite beschränkte oder ob er sich eventuell Sicherheitsprobleme auf der Web-Seite zunutze machen konnte, ist ebenfalls offen. Auf jeden Fall sollten Nutzer von Wer-kennt-Wen.de in Zukunft besser zweimal hinschauen, ob sie sich auch auf der richtigen Seite befinden, bevor sie ihr Passwort eingeben.

Zumindest gibt es bislang keine Anzeichen fĂĽr einen sich weitgehend automatisiert verbreitenden Wurm, wie er bereits MySpace, Orkut und Facebook heimgesucht hat.

Update:
Die Betreiber von Wer-kennt-Wen.de haben mittlerweile nähere Informationen zu dem Vorfall geliefert. Demnach nutzte der Angreifer keine technische Sicherheitslücke aus, sondern präsentierte lediglich auf einem externen Server eine gefälschte Login-Seite, wie es aus Phishing-Attacken bekannt ist. Er hat dazu eine Profil-Seite unter dem Namen des DSDS-Teilnehmers erstellt und mit dem Link auf das angebliche Video versehen. 56 WKW-Nutzer haben dort dann Zugangsdaten eingegeben; sie wolle man nun einzeln benachrichtigen. Des weiteren werde man "rechtliche Schritte gegen den Profilersteller einleiten", erklärte Geschäftsführer Patrick Ohler gegenüber heise Security. (ju)