Im Zuge der Untersuchung bekannter Fernsehsender, stießen wir auf die Internetpräsenz des Senders RTL. Auch wenn RTL schon mehrmals auf Sicherheitslücken hingewiesen wurde, so kann ein weiterer unabhängiger Blick nicht schaden und wir entschlossen uns, diese Webseite unter unsere Lupe zu nehmen. Immerhin verfügt RTL ein sehr großes Repertoire an Streams und ist bei Nutzern von Video-on-Demand sehr beliebt, doch oft findet man bei solchen ausgewachsenen Webangeboten trotzdem einige Sicherheitslücken.
Nachdem wir uns ein wenig umgeschaut haben, stießen wir auf die Subdomain “cocomore”, unter welcher Gehaltsrechner, und ähnliche Tools angeboten werden. Wir untersuchten die zur Berechnung genutzten GET-Parameter und stellten fest, dass diese gegen sogenannte SQL Injection Angriffe anfällig waren. Insgesamt handelte es sich um 5 verwundbare Parameter, verteilt auf 2 verschiedene Seiten.
Bei einer SQL Injection ist es dem Angreifer möglich, die Datenbankabfragen, welche an das Datenbanksystem zur Datenaufbereitung gestellt werden, zu manipulieren, um an Daten Dritter, wie zum Beispiel Emailaddressen, Passwörter und unter Umständen auch Kreditkartendaten, zu gelangen. Diese Daten lassen sich verändern, um sich weiteren Zugang zu verschaffen, oder auslesen, um damit weitere kriminelle Aktivitäten durchzuführen (Spam, Phishing, Kreditkartenbetrug, etc).
Leider können wir keine Aussage dazu treffen, ob Daten Dritter betroffen waren, denn der Hackerparagraph verbietet ein tieferes Eindringen in die Datenbanken fremder Unternehmen ohne deren Einverständnis. Natürlich halten wir uns in jedem Fall daran und zeigen bloß die Schwachstelle auf, nutzen sie aber niemals aus.
Wir kontaktierten am 10.06.2012 RTL über das Onlineformular und einen Tag später teilte man uns mit, dass die Email zur Technik weitergeleitet wurde. Dort befand sich die Nachricht nicht sehr lange, denn einen Tag darauf ließ man uns wissen, dass die Meldung an den technischen Dienstleister für diesen Seitenbereich weitergegeben wurde.
Leider versäumte man es, bzw. hielt es nicht für nötig, sich nach der Behebung der Probleme bei uns zurückzumelden, sodass wir von dem Fix erst durch unsere Nachprüfung am 17.06.2012 erfuhren.
Wir bedanken uns bei RTL für das unkomplizierte und aufmerksame Beheben der Sicherheitslücken, und würden uns beim nächsten Mal eine kürze Rückmeldung wünschen. Damit schließen wir diesen Fall heute ab.
Das Team der Internetwache