Yahoo und WinZip bestätigen Hackerangriffe auf ihre Server

Yahoo und WinZip haben einen Bericht der Sicherheitsfirma Future South Technologies bestätigt, wonach Hacker in mehrere Server beider Unternehmen eingedrungen sind. Yahoo hat jedoch dementiert, dass die Angreifer die weitverbreitete Shellshock-Lücke in der Linux-Shell Bash benutzt haben. Zudem beteuerte der Internetkonzern, es seien keine Nutzerdaten entwendet worden.

Die Adressen der laut Jonathan Hall, President von Future South Technologies, kompromittierten Yahoo-Server weisen darauf hin, dass sie zum Dienst Yahoo Sports gehören. Am Montag hatte ein Yahoo-Sprecher mitgeteilt, dass „eine Handvoll“ seiner Server durch den Shellshock-Bug gehackt worden sei. Yahoos Chief Information Security Officer Alex Stamos widerrief diese Aussage später jedoch.

„Zuvor haben wir berichtet, dass wir eine Handvoll von Server isoliert haben, die einer Sicherheitslücke ausgesetzt waren“, schreibt Stamos in einem Blogeintrag. „Nach einer vollständigen Analyse der Situation hat sich herausgestellt, dass die Server tatsächlich nicht von Shellshock betroffen waren.“

Die Angreifer hätten vielmehr eine andere Anfälligkeit in einem Debugging-Skript ausgenutzt, das Yahoo zu dem Zeitpunkt ausgeführt habe, so Stamos weiter. Er wiederholte zudem die Aussage seines Kollegen, dass die Hacker keinen Zugriff auf Kundendaten hatten.

Hall wiederum zweifelt diese Aussage an. „Man kann nicht einfach annehmen, dass Nutzerdaten nicht betroffen waren“, sagte er. Er kritisierte zudem die Stellungnahme des Internetkonzerns zudem als zu vage. „Hast Du drei Server abgeschaltet oder eine Handvoll isoliert? Sobald man sich in einem Server befindet, ist es nicht sehr schwer, auf einen anderen überzuspringen.“

Darüber hinaus bleibt Hall bei seiner Aussage, die Hacker hätten bei ihrem Angriff auf Yahoo die Shellshock-Lücke benutzt. Genau genommen gehe es um eine Variante von Shellshock, was bei dem Bug keine unübliche Entwicklung sei. Tatsächlich musste auch Red Hat seinen Shellshock-Patch nachbessern, um alle Schwachstellen in Bash zu beseitigen.

WinZip hat laut Hall die Shellshock-Lücke in seinen Servern inzwischen geschlossen, ohne jedoch ihn oder die Öffentlichkeit zu informieren. Ein WinZip-Sprecher sagte CNET, es seien keine Nutzerdaten kompromittiert worden. Man wende nun „die passenden Softwareupdates an, da die Probleme identifiziert“ wurden.

Hall zufolge wurde auch die Suchmaschine Lycos Opfer eines Angriffs auf die Shellshock-Lücke. Das Unternehmen, das wie Yahoo und WinZip auch erst durch Hall von dem Einbruch erfahren hat, wollte sich nicht zu dem Vorgang äußern.

Ende September hatte unter anderem Red Hat vor der Shellshock genannten Sicherheitslücke in der unter Linux, Unix und OS X verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung wird Shellshock auch mit der OpenSSL-Lücke Heartbleed verglichen.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

23 Stunden ago