Defcon 2007: Myspace & Co. verraten ihre User

Am letzten Tag der Hackerkonferenz Defcon gab es gleich mehrere Vorträge, die alle um das gleiche Thema kreisten: Die Verwundbarkeit von massenhaft frequentierten Web-2.0-Seiten wie myspace.com oder youtube.com. Insbesondere Myspace ist ein attraktives Ziel für Attacken, da die Seite reichlich Gebrauch von Web-2.0-Elementen macht und sich somit zahlreiche Angriffsmöglichkeiten bieten. Außerdem ersetzt das interne Nachrichtensystem für viele Myspace-User den herkömmlichen E-Mail-Austausch, so dass externe Virenscanner chancenlos sind.

Dan Hubbard zeigte in seinem Vortrag, wie fatal ein Angriff innerhalb von Myspace ausfallen kann: Die meisten User nehmen beliebig viele Kontakte auf, so dass sie binnen kurzer Zeit tausende von Freunden innerhalb von Myspace haben. Wird nun ein Myspace-Profil von Crackern übernommen, können diese E-Mails mit Links zu bösartigen Websites verschicken – die Empfänger werden dem Link gerne folgen, kommt er doch vermeintlich von einem Freund.

Wie anfällig Myspace gegenüber Attacken ist, zeigte Rick Deacon in einem anderen Vortrag. Er demonstrierte eine noch nicht geschlossene Sicherheitslücke von Myspace, durch die ein Angreifer die Online-Session eines Myspace-Users übernehmen kann. Der Angreifer muss hierzu nur per XSS-Attacke (Cross Site Scripting) an das auf dem Rechner des Opfers abgelegte Myspace-Cookie kommen und hieraus den „Myuserinfo“-Teil in sein eigenes Cookie kopieren. Nach einem Refresh des Browsers gehört dem Angreifer das Profil seines Opfers und er kann E-Mails mit weiteren Links zu seiner Angriffsseite schicken.

Deacon hat Myspace bereits vor Monatent auf diese Sicherheitslücke aufmerksam gemacht, jedoch keine Reaktion erhalten. Laut Deacon ist die Lücke noch nicht geschlossen, wobei nur Firefox-Anwender davon betroffen sind. Der Internet Explorer zeigt sich resistent gegenüber dieser Attacke. (Uli Ries/mja)