Ende letzten Monats tauchte ein Fehler in der Bash-Shell von Linux auf, der von Sicherheitsexperten als riesengroße Lücke eingestuft wurde. Wie jetzt bekannt wurde, ist der Bug ausgenutzt worden, um bei Yahoo auf die Server einzusteigen. Daten wurden aber laut dem Suchmaschinenbetreiber nicht gestohlen.
Auch interessant: Eric Schmidt: Google „immer schon marktführend in Bezug auf Sicherheit und Verschlüsselung“
Der Forscher Jonathon Hall von Future South Technologies hat im Rahmen seiner Recherchen herausgefunden, dass die Yahoo-Server aufgrund der Sicherheitslücke in der Shell angreifbar sind. Die Sicherheitslücke hat er natürlich gleich bei den Betreibern der Suchmaschine gemeldet, was sich allem Anschein nach als gar nicht so einfach herausgestellt hat. Weder Yahoo noch das FBI hat auf seine E-Mails, Anrufe oder Twitter-Einträge reagiert, weshalb er dann beschloss das Ganze auf Reddit publik zu machen. Eine Antwort seitens Yahoo bestätigte dann einen Einbruch über die gemeldete Sicherheitslücke.
Keine Belohnung für den Forscher
Von der Sicherheitslücke seien in diesem Fall „nur“ die “Yahoo Games”-Server betroffen, was jetzt nicht unbedingt das größte Problem darstellt. Vielmehr ist es ein Problem, dass der Konzern sich doch sehr lange Zeit gelassen hat, um auf die zahlreichen Anfragen von Hall zu reagieren. Dazu kommt auch noch, dass er nicht einmal etwas für das Entdecken und Melden der Sicherheitslücke bekommen hat. Obwohl Yahoo auch ein bugBounty-Programm hat, ging er in diesem Fall leer aus. Der Suchmaschinenkonzern scheint die Sicherheitslücke also als nicht allzu ernst zu nehmen, obwohl sie eigentlich alles andere als harmlos ist.
Update würde Lücke schließen
In einem solchen Fall, wie Dienstleistungen die auf Linux-basierten Server laufen, ist die Lücke womöglich eher harmlos, da sie durch ein Update schnell gestopft werden kann. Viel dramatischer ist die Situation beim Endnutzer, sprich uns. Unzählige Geräte, die im Internet hängen, sind meist auch mit einer Linux-Software ausgestattet, die häufig auch nicht auf dem aktuellsten Stand ist. Diversen Routern oder Fernsehern liegt oftmals das freie Betriebssystem zugrunde, weshalb es eine große Anzahl an verwundbaren Geräten auf den Markt gibt. Viele Hersteller solcher Geräte rollen nämlich schon seit Ewigkeiten keine Updates mehr aus bzw. die Nutzer wissen oftmals nicht einmal, wie ein solches eingespielt wird. Mit Hilfe des Shellshock-Bugs könnte ein Hacker so beispielsweise über den Router ins Netzwerk einsteigen und Daten abgreifen bzw. Schadsoftware in Handumdrehen einschleusen.
Quelle: Reddit, Future South
