Wie leicht sind eigentlich Webhoster, bei denen Nutzer ihre Webseiten einrichten, zu hacken? Dieser Frage sind einige Sicherheitsexperten nachgegangen und haben fünf Hoster auf Schwachstellen untersucht. Die Ergebnisse sind erschreckend.
Anzeige
Das Ziel eine Sicherheitsüberprüfung war es, zu sehen, ob Websites, die bei den Anbietern Bluehost, Dreamhost, HostGator, OVH oder iPage gehostet werden, über client-seitige Schwachstellen kompromittiert werden können. Leider haben die Sicherheitsforscher in allen getesteten Plattformen mindestens eine clientseitige Schwachstelle gefunden, die eine Übernahme ermöglicht, wenn das Opfer auf einen Link klickt oder eine bösartige Website besucht. Die Sicherheitsüberprüfung wurde von Paulos Yibelo durchgeführt.
- Bluehost: Es gab mehrere Schwachstellen bei Informationslecks sowie die Möglichkeit, ein Konto zu übernehmen (Account Takeover).
- Dreamhost: XSS- und Information Disclosure-Schwachstellen, die dieOffenlegung von Informationen ermöglichen.
- HostGator: Information Disclosure-Schwachstellen und weitere Schwachstellen, die ein Umgehen der Zugangskontrolle ermöglichen.
- OVH: Information Disclosure-Schwachstellen und mehrere weitere Schwachstellen.
- iPage: Übernahme des Benutzerkontos und mehrere weitere Schwachstellen.
Das Fazit lautet, dass die oben erwähnten Hoster sicherheitstechnisch löchrig wie ein Schweizer Käse sind. Bei Interesse, das Team von Websiteplanet.com hat hier einen Artikel mit Details veröffentlicht. Die Schwachstellen wurden nach der Meldung durch das Sicherheitsteam inzwischen von den Hostern geschlossen. Das Team von Websiteplanet.com geht aber davon aus, dass ähnliche Schwachstellen auch bei anderen Hostern vorhanden sind. Ergänzung: Bei heise.de gibt es inzwischen diesen deutschsprachigen Artikel zum Thema.
Anzeige
Mit Ausnahme von OVH gehören alle benannten Unternehmen EIG, einem Unternehmen, das einen bemerkenswert schlechten Ruf in der Branche hat. Somit ist der Test etwas einseitig. Aber letztlich sieht es bei den meisten anderen Unternehmen in der "Billig-Hosting" Branche, die cPanel und Plesk nutzen, auch nicht besser aus.
Der letzte Satz trifft die Intension des Artikels, wobei ich die Prämisse 'Billig-Hosting' streichen würde.