Ärger um JavaScript-Sicherheitslücke auf Vodafone-Webseite

Von Nadine Juliana Dressler am 26.09.2020 18:22 Uhr
Der Provider Vodafone hat nach einem Medienbericht ein großes Sicherheitsproblem auf seiner Webseite geschlossen. Ein Kunde hatte entdeckt, dass sich mit beliebigem JavaScript-Code die Vodafone-Webseiten manipulieren ließen.

Das berichtet jetzt das Online-Magazin Heise. Es geht dabei um eine bekannte JavaScript-Schwachstelle, die es einem Hacker ermöglicht hätte, beliebigen Code in die Vodafone-Webseiten zu integrieren. Demnach wäre es denkbar, dass Unbefugte zum Beispiel einen Keylogger auf den Seiten platzieren und so Nutzerdaten wie persönliche Passwörter ausspähen. Mittlerweile soll das Problem behoben worden sein, doch auf dem Weg dahin bekleckerte sich Vodafone nicht gerade mit Ruhm.

Vodafone: 5G-Ausbau entlang der Wasserstraßen ist angelaufen
videoplayer

Kunde hatte die Schwachstelle entdeckt

Dabei hatte sich ein Vodafone-Kunde, der selbst Quality Assurance Engineer ist, zunächst an Vodafone gewendet, um das Unternehmen auf einen fatalen Fehler hinzuweisen, der Nutzerdaten gefährdete und theoretisch weitreichende Folgen haben konnte. Es kam aber keinerlei Reaktion auf die Kontaktversuche und die Erklärungen, die der Kunde an das Unternehmen sendete. Nachdem Vodafone sich nicht meldete, schrieb der Kunde die Redaktion von c't und Heise Security an, die sich des Falles annahmen. Wie sich herausstellte, konnte im August ohne Probleme von der Redaktion eingeschleuster Code auf den Vodafone-Webseiten ausgeführt werden.

Hohes Missbrauchspotential

Heise erkannte dabei so wie der Kunde ein hohes Missbrauchspotential und erklärte das an einem konkreten Beispiel, mit dem Internetbetrüger immer wieder versuchen, Kasse zu machen:

"Im Fall von Vodafone wäre es höchst­wahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten. Das ist eine gängige Methode, um schnelle Kasse zu machen: Angreifer lassen Rufnummern zu teuren Premiumrufnummern oder ins Ausland umleiten und verdienen an den horrenden Verbindungskosten mit. Die Opfer bemerken den Betrug häufig erst mit der nächsten Telefonrechnung, die astronomisch hoch ausfällt", so Heise.

Vodafone meldete sich beim Kontaktversuch von Heise zumindest schnell zurück. Schließlich gab man bekannt, dass die Sicherheitslücke bekannt war und dass man sie mittlerweile beheben konnte. Zudem unterstrich Vodafone, dass es keinerlei Hinweise über Missbrauchsfälle oder Auffälligkeiten in Verbindung mit der Schwachstelle gab. Warum das Unternehmen das nicht auch dem Melder des Sicherheitsproblems einfach transparent mitteilen konnte, bleibt unklar.

Großer Internet-Vergleichs-Rechner
Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Vodafone
Desktop-Version anzeigen
Hoch © 2020 WinFuture Impressum Datenschutz Cookies