Web 2.0: Kritische Lücken gefährden User-Daten

Social Networking Portale im Visier

Die Nutzung der Funktionalität von Web 2.0 hat sich bei Endanwendern bereits etabliert, zum Beispiel über Sites wie das Social-Networking-Portal MySpace. Auch Unternehmen erkennen zunehmend den Wert von interaktiven Webanwendungen und setzen häufig Frameworks ein, um den schnellen Zugriff auf Informationen zu erleichtern, die Leistung von Applikationen zu verbessern, und um Teamfunktionen zu realisieren. Nach einer Umfrage von McKinsey im März 2007 planen vor allem Unternehmen aus den Bereichen Einzelhandel, Hightech, Telekommunikation, Finanzen und Pharmaka, Web-2.0-Technologien einzusetzen.

Applikationen, die die jetzt dokumentierte Schwachstelle aufweisen, bieten für Hacker die Zugriffsmöglichkeit auf sensible Daten dieser Unternehmen. JavaScript-Hijacking erlaubt es einem Angreifer ohne die dazu eigentlich notwendigen Rechte, Web-2.0-Applikationen auszuführen. Sobald ein Angreifer erfolgreich die Rechte eines legitimen Anwenders missbraucht, kann er die oftmals sensitiven Daten auslesen, die per JavaScript zwischen einer Anwendung und dem Browser ausgetauscht werden. Damit stehen ihm die Wege offen, auch ohne die notwendigen Rechte umfangreiche Transaktionen vorzunehmen - beispielsweise Produkte zu kaufen und zu verkaufen, Aktien zu handeln, Sicherheitseinstellungen für das Unternehmensnetzwerk zu verändern oder Finanz-, Kunden- und Inventardaten zu manipulieren.