Menü
Security

16-jähriger demonstriert Sicherheitslücken bei 17 Banken

Von
vorlesen Drucken Kommentare lesen 270 Beiträge

Sicherheitslücken bei Banken (17 Bilder)

Allianz

Den iFrame mit der heisec-Seite haben wir da reingeschmuggelt.

Die nächste Ausgabe des c't magazins berichtet, dass der 16-jährige Schüler Armin Razmdjou auf den Web-Seiten von 17 Banken Sicherheitslücken entdeckt hat. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Probleme, die eine besonders raffinierte Form des Phishings ermöglichen.

Er habe sich gewundert, dass heise Security bis vor etwa zwei Jahren intensiv über derartige Probleme berichtet hatte – mittlerweile aber so gut wie nichts mehr darüber zu lesen sei, erklärte der Zwölftklässler. Aus Neugier hat er selbst eine Reihe von Bankenseiten untersucht. In etwa 4 von 5 Fällen wurde er fündig und entdeckte eine Sicherheitslücke. heise Security konnte alle Probleme nachvollziehen und benachrichtigte die betroffenen Banken. Alle gemeldeten Lücken sind mittlerweile geschlossen.

Die gefundenen Cross-Site-Scripting-Lücken sind nicht geeignet, direkt Daten auf den Servern der Banken zu kompromittieren. Ein Einbruch in deren Systeme wäre damit nicht möglich gewesen. Dennoch sind sich Sicherheitsexperten einig, dass Cross-Site-Scripting-Lücken keineswegs ein Kavaliersdelikt darstellen. Der heisec-Artikel Passwortklau für Dummies illustriert die davon ausgehende Gefahr sehr anschaulich. (ju)