Wieder IT-Panne bei der Funke Mediengruppe

0
553
Auch im Quelltext der Webseite funke.fun konnten die Informationen der Nutzer ausgelesen werden. (Foto: Lennart Demes, www.pixabay.com)

Auf einem Gewinnspielportal der Funke Mediengruppe ist es zu einer Sicherheitspanne gekommen. Durch einen Fehler in der Programmierung konnten Namen, Anschrift und E-Mailadresse von Dritten abgerufen werden.

Die Sicherheitslücke wurde von einem Nutzer der Seite funke.fun – auf dem das Gewinnspiel stattfand – bemerkt. Die URL, welche am Ende des Spiels generiert wurde, enthielt eine ID mit einer natürlichen Zahl. Nach mehreren Testdurchläufen stellte der Nutzer fest, dass die ID’s fortlaufend vergeben werden. Jegliche Endungen der URL, welche von 3.000.002 bis 4.451.700 vergeben wurden (Beispiel: https://www.funke.fun/gewinnspiele/hoerzu/danke-29/4444001), enthielten einen Datensatz. Zu jedem dieser 1,45 Millionen Datensätze konnte also ein Ausgabefenster zugeordnet werden. Da allerdings die meisten Nutzer mehrmals teilnahmen, ist zu mehreren Datensätzen (etwa 15) nur ein User zuzurechnen. Spammer und dubiose Händler hätten sich diesen Fehler zu nutzen machen können und die Daten der insgesamt 85.664 Teilnehmerinnen und Teilnehmer abgreifen können. Der Fehler zählt zu den häufigsten Problemen im Web. Üblicherweise dürfen ID’s nicht berechenbar sein, d.h. natürliche Zahlen sollten vermieden werden.

Eine Sprecherin des Unternehmens bestätigte diesen Vorfall: “Mit großer Bestürzung und Bedauern mussten wir feststellen, dass bei einem Gewinnspiel auf unserer Seite funke.fun tatsächlich eine fehlerhafte Programmierung vorgelegen hat.”

Als Reaktion wurde der Cyber-Security-Dienstleister Northwave beauftragt. Er sollte prüfen, ob auf diesem Wege Daten abgegriffen worden waren. Das Unternehmen kam zu dem Ergebnis, dass “davon auszugehen ist, dass niemand von dem Programmierfehler Kenntnis erlangt hat und keine Daten in die Hände Dritter gelangt sind”.

Bereits im Dezember hatte die Funke Mediengruppe Sicherheitsprobleme gemeldet, als beim Essener Unternehmen Tausende Rechner von einer Schadsoftware infiziert waren. Daraufhin hatten die Leserinnen und Leser des Verlags zeitweise nur auf ein seitenreduziertes Angebot zurückgreifen können.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here