Unser aller erster Fall (06.06.2012) widmet sich dem Internetauftritt der Zeitschrift “Focus”.
Durch Zufall entdeckte das Team der Internetwache eine SQL Injection Sicherheitslücke im DSL-Tarife-Rechner.
Angreifer hätten über manipulierte Seitenaufrufe an die Inhalte der Datenbank(en) hinter der Webseite gelangen können, oder diese manipulieren, um diese für illegale Zwecke zu missbrauchen. In solchen Datenbanken können sich Daten Dritter, wie zum Beispiel die Emailadressen der Newsletterabonnenten vorhanden sein.
Nachdem wir Focus per Email über dieses Sicherheitsleck informierten, bekamen wir zunächst keine Antwort. Nach telefonischer Kontaktaufnahme wurden die Probleme an die Betreiber der Seite weitergeleitet und man versprach sich zu melden, wenn die Sicherheitsprobleme behoben sein würden.
Genau zwei Wochen nach der ersten versuchten Kontaktaufnahme war das Problem behoben und man bedankte sich freundlich für den Hinweis.
Das Internetwache Team