Kinder, Kinder: Kritische Sicherheitslücke bei nickelodeon
Auf der Webseite des deutschsprachigen Kindersenders verbirgt sich eine Sicherheitslücke, die es in sich hat. Mit der SQL-Injection könnte man die komplette Datenbank abrufen, das System übernehmen oder eigene Dateien hochladen. Die Viacom-Tochter wurde vor zehn Tagen informiert, getan hat sich bislang nichts. Hat etwa Bob der Baumeister oder Spongebob die Seite gebaut?
Auf der Webseite des Spartensenders nickelodeon verbirgt sich eine Sicherheitslücke, die die Daten unzähliger Kinder und ihrer Eltern in Gefahr bringen könnte. Mithilfe der SQL-Injection kann man die komplette Datenbank als auch das System an sich übernehmen, eigene PHP- und html-Dateien hochladen und vieles mehr. Am 20. August bat der Finder per E-Mail unter Angabe seines Namens um eine Rückmeldung, damit er dem Betreiber die Sicherheitslücke auf einem sicheren Weg mitteilen könnte. Von der E-Mail-Adresse datenschutz@mtv.de kam aber nie eine Antwort zurück. Nach einer Frist von 10 Tagen entschieden wir uns für die Veröffentlichung, weil die Lücke noch immer aktiv ist.
Wer auch immer das System übernimmt, hat die Kontrolle über die Daten aller angemeldeten User und möglicherweise auch über den in der Webseite integrierten Shop. Ob der Fehler auch den Online-Shop von happytoys.de betrifft, konnte aber zum jetzigen Zeitpunkt nicht festgestellt werden. Weitere Details möchten wir vor der Behebung der Lücke nicht bekannt geben.
Quelle: gulli
Auf der Webseite des deutschsprachigen Kindersenders verbirgt sich eine Sicherheitslücke, die es in sich hat. Mit der SQL-Injection könnte man die komplette Datenbank abrufen, das System übernehmen oder eigene Dateien hochladen. Die Viacom-Tochter wurde vor zehn Tagen informiert, getan hat sich bislang nichts. Hat etwa Bob der Baumeister oder Spongebob die Seite gebaut?
Auf der Webseite des Spartensenders nickelodeon verbirgt sich eine Sicherheitslücke, die die Daten unzähliger Kinder und ihrer Eltern in Gefahr bringen könnte. Mithilfe der SQL-Injection kann man die komplette Datenbank als auch das System an sich übernehmen, eigene PHP- und html-Dateien hochladen und vieles mehr. Am 20. August bat der Finder per E-Mail unter Angabe seines Namens um eine Rückmeldung, damit er dem Betreiber die Sicherheitslücke auf einem sicheren Weg mitteilen könnte. Von der E-Mail-Adresse datenschutz@mtv.de kam aber nie eine Antwort zurück. Nach einer Frist von 10 Tagen entschieden wir uns für die Veröffentlichung, weil die Lücke noch immer aktiv ist.
Wer auch immer das System übernimmt, hat die Kontrolle über die Daten aller angemeldeten User und möglicherweise auch über den in der Webseite integrierten Shop. Ob der Fehler auch den Online-Shop von happytoys.de betrifft, konnte aber zum jetzigen Zeitpunkt nicht festgestellt werden. Weitere Details möchten wir vor der Behebung der Lücke nicht bekannt geben.
Quelle: gulli
