SSL-Leck erlaubt Passwort-Klau

Daniel Dubsky,
SicherheitSicherheitsmanagement

Wie Anfang des Monats bekannt wurde, sind TLS ab Version 1.0 und SSL ab Version 3.0 anfällig für Man-in-the-Middle-Angriffe. Sicherheitsexperten waren allerdings der Meinung, der Designfehler in den Protokollen bei der Neuaushandlung von Verbindungsparametern zwischen Client und Server, ließe sich nur schwer ausnutzen und würde kaum brauchbare Daten liefern.

Der türkische Student Anil Kurmus hat nun das Gegenteil bewiesen und die Zugangsdaten eines Twitter-Accounts abgreifen können. Dafür schickte er manipulierte HTTPS-Requests an die Twitter-API und erreichte so, dass Nutzername und Passwort als Tweet veröffentlicht wurden – zwar kodiert, doch leicht zu dekodieren.

Bei der IETF arbeitet man bereits an einer neuen Version der Protokolle, um das Problem zu beheben. (Daniel Dubsky)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus