Werbung
Amerikanischer Hacker hatte sich allein mit einem normalen Browser Zugang zum Redaktionssystem von Yahoo! News verschaffen können
Nicht mehr als ein Browser und eine Email-Adresse waren angeblich notwendig, um bei Yahoo! News Nachrichten nach Belieben umzuschreiben. Wie SecurityFocus berichtet, hatte Adrian Lamo, ein Hacker, am Dienstag eine schon ältere Reuters-Meldung ohne Probleme verfälschen können. Gerade in Zeiten wie gegenwärtig, in denen Nachrichten eine große Rolle spielen, könnten solche Eingriffe unangenehme Konsequenzen haben.
Viel besser geschützt als der Zugang zu den Nachrichten seien andere Bereiche bei Yahoo gewesen, kritisierte der 20jährige Hacker. "Es ist schwieriger, auf ihre Statistiken über Werbung zuzugreifen als auf ihre Produktionsmittel für Nachrichten." Lamo konnte offenbar durch eine Veränderung des Browsers auf einen der drei Proxies zugreifen, die das interne Yahoo-Netz mit dem Internet verbinden, und sich so ohne Kennwort als Mitarbeiter ausgeben, der Zugriff auf die Herstellung und Redaktion von Nachrichten hat.
Yahoo hat keine näheren Angaben über die Sicherheitslücke gemacht, diese aber gleich geschlossen, als man von SecurityFocus von dem Hack erfahre hatte. Man nehme bei Yahoo die Sicherheit sehr wichtig, sagte Kourosh Karimkhany von Yahoo! News, und habe die notwendigen Schritte unternommen, um einen unautorisierten Zugriff zu verhindern.
Lamo hatte zur Demonstration der bedenklichen Sicherheitslücke eine Nachricht vom 23. August umgeschrieben, die nicht mehr von vielen gelesen wird. In der Meldung ging es um eine Verzögerung des Prozesses gegen den russischen Programmierer Dmitry Sklyarov, der ein Programm zur Umgehung des Kopierschutzes für die eBooks von Adobe geschaffen hat und in den USA wegen Verletzung des Digital Millennium Copyright Act festgenommen wurde. Lamo veränderte unter anderen die Meldung so, dass Sklyarov mit einem Todesurteil rechnen müsse. Auch weitere ältere Nachrichten konnte er umschreiben, die aber meist nicht mehr bei Yahoo! News zu finden sind. So hatte er, wie er SecurityFocus durch einen Screen Shot zeigte, einer Meldung vom 10. August über den Bericht des Kongressausschusses für Geheimdienste zur NSA das falsche Zitat aus dem Bericht hinzugefügt: "Die Umstrukturierung der NSA steht für den Ausschuss ganz oben. Zusammen mit AOL Times Warner erwarten wir, Ihnen einen Dienst anzubieten, dem Sie nicht widerstehen können."
Die Veränderung von Nachrichten, besonders auf so großen und viel besuchten Portalen wie Yahoo, könnte durchaus schlimme Konsequenzen haben. Gerade in Zeiten wie jetzt, wo viele Menschen sich über das Internet informieren, lassen sich die möglichen Folgen solcher "Angriffe auf die Information" besser erkennen, es würde aber schon reichen, Meldungen über Unternehmen oder etwa Zinssenkungen zu manipulieren, um Schaden hervorrufen zu können. Lamo selbst beteuert, dass er erschrocken ist, wie leicht er Zugang zu den Nachrichten hatte erlangen können: "Zu dieser Zeit hatte ich eine größere potenzielle Leserschaft als die Washington Post. Es hätte für viele Menschen, die an den Ereignissen an diesem Tag interessiert waren, großen Kummer verursachen können, wenn falsche oder irreführende Informationen ins Netz gestellt worden wären."
Im April hatte Lamo eine Sicherheitslücke bei Excite@Home entdeckt, durch die man Zugriff auf drei Millionen Accounts erlangen konnte. Er hatte das Unternehmen informiert und wurde im Mai dafür von Excite geehrt. Ende des letzten Jahres hatte er eine ähnliche Sicherheitslücke bei AOL Instant Messenger (AIM) gefunden.
Gruß
Happy End
Nicht mehr als ein Browser und eine Email-Adresse waren angeblich notwendig, um bei Yahoo! News Nachrichten nach Belieben umzuschreiben. Wie SecurityFocus berichtet, hatte Adrian Lamo, ein Hacker, am Dienstag eine schon ältere Reuters-Meldung ohne Probleme verfälschen können. Gerade in Zeiten wie gegenwärtig, in denen Nachrichten eine große Rolle spielen, könnten solche Eingriffe unangenehme Konsequenzen haben.
Viel besser geschützt als der Zugang zu den Nachrichten seien andere Bereiche bei Yahoo gewesen, kritisierte der 20jährige Hacker. "Es ist schwieriger, auf ihre Statistiken über Werbung zuzugreifen als auf ihre Produktionsmittel für Nachrichten." Lamo konnte offenbar durch eine Veränderung des Browsers auf einen der drei Proxies zugreifen, die das interne Yahoo-Netz mit dem Internet verbinden, und sich so ohne Kennwort als Mitarbeiter ausgeben, der Zugriff auf die Herstellung und Redaktion von Nachrichten hat.
Yahoo hat keine näheren Angaben über die Sicherheitslücke gemacht, diese aber gleich geschlossen, als man von SecurityFocus von dem Hack erfahre hatte. Man nehme bei Yahoo die Sicherheit sehr wichtig, sagte Kourosh Karimkhany von Yahoo! News, und habe die notwendigen Schritte unternommen, um einen unautorisierten Zugriff zu verhindern.
Lamo hatte zur Demonstration der bedenklichen Sicherheitslücke eine Nachricht vom 23. August umgeschrieben, die nicht mehr von vielen gelesen wird. In der Meldung ging es um eine Verzögerung des Prozesses gegen den russischen Programmierer Dmitry Sklyarov, der ein Programm zur Umgehung des Kopierschutzes für die eBooks von Adobe geschaffen hat und in den USA wegen Verletzung des Digital Millennium Copyright Act festgenommen wurde. Lamo veränderte unter anderen die Meldung so, dass Sklyarov mit einem Todesurteil rechnen müsse. Auch weitere ältere Nachrichten konnte er umschreiben, die aber meist nicht mehr bei Yahoo! News zu finden sind. So hatte er, wie er SecurityFocus durch einen Screen Shot zeigte, einer Meldung vom 10. August über den Bericht des Kongressausschusses für Geheimdienste zur NSA das falsche Zitat aus dem Bericht hinzugefügt: "Die Umstrukturierung der NSA steht für den Ausschuss ganz oben. Zusammen mit AOL Times Warner erwarten wir, Ihnen einen Dienst anzubieten, dem Sie nicht widerstehen können."
Die Veränderung von Nachrichten, besonders auf so großen und viel besuchten Portalen wie Yahoo, könnte durchaus schlimme Konsequenzen haben. Gerade in Zeiten wie jetzt, wo viele Menschen sich über das Internet informieren, lassen sich die möglichen Folgen solcher "Angriffe auf die Information" besser erkennen, es würde aber schon reichen, Meldungen über Unternehmen oder etwa Zinssenkungen zu manipulieren, um Schaden hervorrufen zu können. Lamo selbst beteuert, dass er erschrocken ist, wie leicht er Zugang zu den Nachrichten hatte erlangen können: "Zu dieser Zeit hatte ich eine größere potenzielle Leserschaft als die Washington Post. Es hätte für viele Menschen, die an den Ereignissen an diesem Tag interessiert waren, großen Kummer verursachen können, wenn falsche oder irreführende Informationen ins Netz gestellt worden wären."
Im April hatte Lamo eine Sicherheitslücke bei Excite@Home entdeckt, durch die man Zugriff auf drei Millionen Accounts erlangen konnte. Er hatte das Unternehmen informiert und wurde im Mai dafür von Excite geehrt. Ende des letzten Jahres hatte er eine ähnliche Sicherheitslücke bei AOL Instant Messenger (AIM) gefunden.
Gruß
Happy End
