Schweiz
Digital

Piraten-Kandidat hackt Wahl-Plattform Vimentis – um auf Sicherheitslücken aufmerksam zu machen

Besucher von Vimentis landeten bei einer «Umleitung aus Sicherheitsgründen».
Besucher von Vimentis landeten bei einer «Umleitung aus Sicherheitsgründen».
Screenshot: Piratenpartei.ch

Piraten-Kandidat hackt Wahl-Plattform Vimentis – um auf Sicherheitslücken aufmerksam zu machen

Die Website vimentis.ch wies eine heikle Sicherheitslücke auf. Ein Hacker nutzte sie aus, um die Betreiber zum Handeln zu bewegen. Mit Erfolg.
09.10.2015, 09:1109.10.2015, 12:22
Roman Rey
Folge mir
Mehr «Schweiz»

Wer sich mit Scripts im Internet auskennt, konnte bis vor kurzem auf die Wahlplattform vimentis.ch eindringen und Schabernack treiben. Um Vimentis dazu zu bewegen, die Sicherheitslücke zu schliessen, hat Jonas Witmer genau das getan – und die Seite mit einer Umleitung versehen.

Besucher landeten bei einer Warnungs-Seite der Piratenpartei, wo es hiess:

«Die Seite von Vimentis, die Sie gerade angesurft haben, hat gravierende Sicherheitslücken. Da Vimentis trotz Vorwarnung durch die Piraten diese Lücke, welche Ihre Sicherheit gefährdet, nicht schliesst, haben wir Sie umgeleitet, um auf dieses Problem aufmerksam zu machen.»

Die Aktion zeigte Wirkung. «Alle von mir beanstandeten Lücken sind inzwischen behoben», sagt Witmer, der für die Berner Piratenpartei in den Nationalrat will, zu watson. Wie Daniel Geissmann vom Vimentis-Vorstand bestätigt, sei das Problem 30 Minuten nach dem Hack behoben worden. Weitere Lücken seien eine Woche später geschlossen worden, so Witmer.

«Profile von Nutzern oder Kandidaten hätten manipuliert werden können.»

«Ich habe Vimentis auch dazu aufgefordert, den Quellcode der Seite zu überprüfen», sagt Witmer. Das habe Vimentis gemacht und sei auf weitere Fehler gestossen, die in den nächsten Wochen behoben werden sollen.

Ethische Hacker-Angriffen

Beim Sicherheitsleck handelte es sich um eine sogenannte XSS-Lücke, wie Witmer in einem Blogpost ausführt. Diese erlaubt es jedem, mittels Formular-Eingaben eigene Scripts auszuführen. «Üblicherweise werden durch eine solche Lücke Viren oder Trojaner auf einer Webseite platziert», erklärt Witmer auf Anfrage. «Bei Vimentis hätten so Profile von Nutzern oder Kandidaten manipuliert werden können».

Wenn ein Hacker in ein System eindringt, um auf eine Sicherheitslücke aufmerksam zu machen, spricht man von «Ethical Hacking» oder einer «White Hat»-Operation. Das Portal «IT-Inside» kritisiert das Vorgehen des Hackers: Bei solchen Operationen müsse man den Betroffenen einer Sicherheitslücken eine angemessene Frist gewähren – die Warnfrist von einer Woche sei für ein kleines Portal wie Vimentis zu kurz gewesen.

«Der gläserne Bürger droht Realität zu werden!» Moment – über welches Gesetz haben wir gerade abgestimmt?

1 / 12
«Der gläserne Bürger droht Realität zu werden!» Moment – über welches Gesetz haben wir gerade abgestimmt?
Der Nationalrat hat dem neuen Nachrichtendienstgesetz zugestimmt. Künftig soll der NDB auch Telefone abhören, Privaträume verwanzen und in Computer eindringen dürfen. Unter den Ja-Stimmen waren einige, die mal noch ganz anders über Privatsphäre und Überwachung sprachen …
Auf Facebook teilenAuf X teilen

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
18 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Alf
09.10.2015 10:46registriert Februar 2014
"die Warnfrist von einer Woche sei für ein kleines Portal wie Vimentis zu kurz gewesen."... äh und deswegen konnten sie es in einer halben Stunde beheben? Wow.
792
Melden
Zum Kommentar
18
Migros verzichtet auf den Nutri-Score – für den Konsumentenschutz ist klar, wer schuld ist
Nach nur drei Jahren ist Schluss. Die Migros verzichtet künftig auf die Nährwert-Kennzeichnung Nutri-Score, sehr zum Ärger der Stiftung für Konsumentenschutz. Mitte-Ständerat Benedikt Würth ist über die Abschaffung erfreut, der Nutri-Score verfolge einen falschen Ansatz.

Er sollte Kundinnen und Kunden der Migros dabei unterstützen, sich gesünder zu ernähren. Nach drei Jahren ist der sogenannte Nutri-Score jedoch bereits wieder Geschichte.

Zur Story