Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Wer sich mit Scripts im Internet auskennt, konnte bis vor kurzem auf die Wahlplattform vimentis.ch eindringen und Schabernack treiben. Um Vimentis dazu zu bewegen, die Sicherheitslücke zu schliessen, hat Jonas Witmer genau das getan – und die Seite mit einer Umleitung versehen.
Besucher landeten bei einer Warnungs-Seite der Piratenpartei, wo es hiess:
Die Aktion zeigte Wirkung. «Alle von mir beanstandeten Lücken sind inzwischen behoben», sagt Witmer, der für die Berner Piratenpartei in den Nationalrat will, zu watson. Wie Daniel Geissmann vom Vimentis-Vorstand bestätigt, sei das Problem 30 Minuten nach dem Hack behoben worden. Weitere Lücken seien eine Woche später geschlossen worden, so Witmer.
«Ich habe Vimentis auch dazu aufgefordert, den Quellcode der Seite zu überprüfen», sagt Witmer. Das habe Vimentis gemacht und sei auf weitere Fehler gestossen, die in den nächsten Wochen behoben werden sollen.
Beim Sicherheitsleck handelte es sich um eine sogenannte XSS-Lücke, wie Witmer in einem Blogpost ausführt. Diese erlaubt es jedem, mittels Formular-Eingaben eigene Scripts auszuführen. «Üblicherweise werden durch eine solche Lücke Viren oder Trojaner auf einer Webseite platziert», erklärt Witmer auf Anfrage. «Bei Vimentis hätten so Profile von Nutzern oder Kandidaten manipuliert werden können».
Wenn ein Hacker in ein System eindringt, um auf eine Sicherheitslücke aufmerksam zu machen, spricht man von «Ethical Hacking» oder einer «White Hat»-Operation. Das Portal «IT-Inside» kritisiert das Vorgehen des Hackers: Bei solchen Operationen müsse man den Betroffenen einer Sicherheitslücken eine angemessene Frist gewähren – die Warnfrist von einer Woche sei für ein kleines Portal wie Vimentis zu kurz gewesen.