Yahoo: Hackern konnten Datenbankeinträgen löschen
Kommentare

Yahoo kommt aus den Negativ-Schlagzeilen nicht heraus. Erst kürzlich wurde bekannt, dass Millionen User, die über den Yahoo Webcam Messenger miteinander gechattet haben, ausspioniert wurden.

Nun machte ein Security Spezialist aus Ägypten auf eine kritische Sicherheitslücke auf Yahoos Subdomain http://suggestions.yahoo.com/ aufmerksam.

Laut Ibrahim Raafat war es auf dem Yahoo! Suggestion Board für jemanden ohne großartige Programmierkenntnisse möglich, ein automatisiertes Skript zu schreiben, um sämtliche Kommentare und Beiträge zu löschen. 

Während er seinen eigenen Kommentar löschte, bemerkte er im HTTP-Header den POST-Request, der den Parameter „fid“ für die Themen-ID und „cid“ als Parameter für die jeweilige Kommentar-ID ausgab. Durch Manipulation der beiden Parameter war es Raafat problemlos möglich Kommentare aber auch ganze Threats von anderen Personen zu löschen.

Raafat teilte seine Erkenntnisse dem Yahoo! Security Team mit und veröffentlichte ein entsprechendes Beweisvideo und einen Beitrag auf seinem Blog.

Yahoo! kann froh sein, dass sie letztes Jahr zum November hin ihr Bug Bounty Programm umgestaltet haben. Gab es zuvor ledlich Emails und ggf. kleine Give-Aways wie T-Shirts oder andere Merchandise Produkte, gibt es seit dem Belohnungen von mindestens 150 bis zu 1.500 US Dollar für das Aufdecken von Sicherheitsproblemen.

Dadurch ist offensichtlich die Motivation größer, das Unternehmen mit der eigenen Sicherheitsexpertise zu unterstützen, anstatt es zu boykottieren.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -