Matthias Ungethuem manipuliert die ESA-Seite (Foto: M.Voß) |
MDR INFO, 04.08.12
Vor einigen Wochen hatte er noch die Seiten von T-Online geknackt und die Telekom darauf aufmerksam gemacht, dass ihr E-Mail-Dienst ein großes Sicherheitsrisiko hat. Nun hat der Hacker aus Mittelsachsen zwei viel größeres Organisationen geprüft und für gefährdet erklärt: die NASA und ihr europäischer Gegenpart ESA. Ich war gestern Abend vor Ort.
Man kann die ESA-Seite innerhalb des Links so verändern, wie man will.
Wir machen ersteinmal einen ganz großen Text, damit wir sehen, dass wir HTML browserseitig ausführen können. H1, so jetzt müsste es eigentlich extrem groß hier drin werden. Extrem. Ist jetzt übertrieben. – Also, was sieht man jetzt genau? – Das, was man jetzt an der Aktion sieht, ist, dass wir HTML ausführen können innerhalb von einem Parameter, den wir mitsenden.
Screenshot der manipulierten ESA-Seite |
Das Schlimmste dabei ist, dass man direkt in den ihre Server eindringen kann. Man kann quasi direkt in die Webseiten eindringen, kann sich dort drin umgucken, kann auch alles verändern, wenn man das möchte.
Ich konnte die Passwort-Dateien auslesen und ein eigenes PHP-Script hochladen, um den Server komplett anzusehen. Alles was drin ist.
Screenshot der NASA-Seite mit Serverdaten |
Matthias Ungethuem könnte mit diesem Wissen der NASA oder auch der ESA schaden. Aber er will es nicht. Sein Ehrgeiz ist es, auf gravierende Sicherheitslücken hinzuweisen, um Schaden zu vermeiden. Er nennt das „reporten“ und arbeitet dafür mit dem Internetportal Gulli.com zusammen.
Ich habe vor vielen Jahren mal Lücken reportet, auf die nicht geantwortet wurde, und ich habe mir gesagt, ich guck mal nach, ob die Dinger noch existieren. Und da ist es doch tatsächlich so, dass sie noch existieren.
Die ESA hat den Bug inzwischen beseitigt.