+43 699 / 18199463
office@itexperst.at

Britisches ICO warnt vor SQL-Injection-Attacken

Die Reisewebseite Worldview Limited muss 7.500 Britische Pfund als Strafe für einen Cyber-Einbruch zahlen, bei dem Hacker die kompletten Zahlungsinformationen von insgesamt 3.814 Kunden stehlen konnten.

Ein bisher nicht identifizierter Hacker nutzte eine SQL-Injection-Sicherheitslücke in der Webseite aus, um auf die Kundendatenbank zuzugreifen. Zwar waren die Zahlungsinformationen der Kunden verschlüsselt, der Schlüssel dazu wurde jedoch zusammen mit den Daten gespeichert. Das geht aus einer Untersuchung durch das britische Information Commissioner’s Office (ICO) hervor.

Diese Kombination aus Sicherheits-Fehltritten gestattete es den Cyberkriminellen, die kompletten Kartendetails zu entwenden, einschließlich der Sicherheitscodes.

„Die Sicherheitslücke befand sich seit Mai 2010 auf der Webseite und wurde im Rahmen einer Update-Routine am 28. Juni 2013 entdeckt“,

so ein Statement des ICO.

„Die Angreifer konnten auf die Informationen zehn Tage lang zugreifen. Das Unternehmen hat die Schwachstelle beseitigt und investiert in die Verbesserung seiner IT-Schutzmaßnahmen.“

Ursprünglich sollte die Strafzahlung wesentlich höher ausfallen – 75.000 Pfund wurden gefordert. Da das ICO allerdings die finanzielle Situation des Unternehmens in Betracht ziehen muss, wurde die Strafe nun erheblich abgemildert.

Simon Rice vom ICO meint, der Worldview-Fall bietet eine Lektion für andere Unternehmen, vor allem im Bereich e-Commerce.

„SQL-Injection-Attacken sind durchaus vermeidbar. Unternehmen müssen allerdings die nötige Zeit und Mühe verwenden, um sicherzustellen, dass ihre Webseite nicht anfällig dafür ist“,

so Rice.

„Worldview hat dies nicht getan, sodass die Kartendetails von mehr als dreitausend Kunden kompromittiert wurden.“

Rice weiter:

„Unternehmen müssen jetzt agieren, um einen der ältesten Hackertricks zu vermeiden. Sollten sie die entsprechende Expertise nicht im Haus haben, holen sie sich externe Experten dazu. Wenn nicht, gehören sie sehr wahrscheinlich bald der nächsten Reihe von Unternehmen an, gegen die wir eine Strafe verhängen müssen. Viel schwerwiegender ist allerdings der Schaden in Bezug auf ihre Glaubwürdigkeit und das Vertrauen der Kunden.“

Das ICO veröffentlichte sowohl einen Blogartikel, in dem SQL-Injection-Attacken und der Schutz davor beschrieben werden, als auch eine ausführliche Sicherheitsanleitung.

Paul Ayers von der Sicherheitsfirma Vormetric fügt hinzu, dass Unternehmen sich auch gründlich Gedanken über das Management von Verschlüsselungen machen sollten.

Warnung des ICOs vor SQL Injection Attack.

Artikel von theregister.co.u, 05.11.2014: Watchdog bites hotel booking site: Over 3k card details slurped
Artikel von v3.co.uk, 05.11.2014: ICO warns on SQL attacks after travel firm has 4,000 card details stolen

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen