IT-Experte aus Sachsen hackt Internetseiten der US-Bundespolizei FBI
Keine Domain scheint wirklich sicher vor Hackern zu sein. Auch nicht die offizielle Internetpräsenz des FBI, auf der ein deutscher IT-Experte jetzt eine gravierende Sicherheitslücke entdeckte. Im Beisein von Reportern des Fernsehsenders MDR konnte er die Domain-Webseite hacken. Um das ungehinderte Eindringen nachzuweisen, stellte sich der „Hacker“ selbst auf die FBI-Fahndungsliste der Domainpräsenz.
Scheinbar größere Sicherheitslücke bei der FBI-Domain entdeckt
Der IT-Experte, der das Sicherheitsleck auf der FBI-Domain entdeckt hat, heißt Matthias Ungethüm und kommt aus dem sächsischen Ort Geringswalde. Das Domainhhacking der FBI-Verbrecherdatei soll die amerikanische Behörde auf ein großes Sicherheitsproblem hinweisen. Ungethüm konnte mit der Manipulation zeigen, dass die gehackte Domain weiterhin als vertrauenswürdig und zum FBI zugehörig geführt und angezeigt wird. Internetkriminelle könnten so unproblematisch Domain-Schadsoftware einspielen oder Fake-Programme mit Viren anbieten.
Für den Nachweis der Sicherheitslücke hat Matthias Ungethüm das sogenannte Domain-Cross-Site-Scripting verwendet. Dabei hat er den Nutzerlink zur Seite verändert und konnte dann Fehlinformationen einschleusen. Die veränderte Webseite ist für alle Nutzer sichtbar, die den manipulierten Link verwenden oder anklicken. Es ist heute sehr einfach, den gefälschten Link in Mailing-Aktionen zu versenden und so viele Besucher anzulocken. Möglich sind z.B. gefakte Mails, die scheinbar direkt vom FBI gesendet wurden.
Welche Konsequenzen zieht das FBI?
Der Internetexperte sieht die Domain-Lücke kritisch, denn neben Falschmeldungen im Namen des FBI könnte die Verbreitung von Spyware, Trojanern oder Viren einen immensen Schaden bei den Domain-Nutzern anrichten.
Deshalb hat er bereits am 15. März 2015 eine Nachricht an die US-Bundespolizei gesendet und auf das Sicherheitsleck auf der Webpräsenz hingewiesen. Auch der MDR hat Kenntnis von der Mail, die bisher noch nicht beantwortet wurde. Die Sicherheitslücke auf der FBI-Domain wurde bisher nicht geschlossen.