Webhoster leicht zu hacken?

Wie leicht sind eigentlich Webhoster, bei denen Nutzer ihre Webseiten einrichten, zu hacken? Dieser Frage sind einige Sicherheitsexperten nachgegangen und haben fünf Hoster auf Schwachstellen untersucht. Die Ergebnisse sind erschreckend.

Das Ziel eine Sicherheitsüberprüfung war es, zu sehen, ob Websites, die bei den Anbietern Bluehost, Dreamhost, HostGator, OVH oder iPage gehostet werden, über client-seitige Schwachstellen kompromittiert werden können. Leider haben die Sicherheitsforscher in allen getesteten Plattformen mindestens eine clientseitige Schwachstelle gefunden, die eine Übernahme ermöglicht, wenn das Opfer auf einen Link klickt oder eine bösartige Website besucht. Die Sicherheitsüberprüfung wurde von Paulos Yibelo durchgeführt.

• Bluehost: Es gab mehrere Schwachstellen bei Informationslecks sowie die Möglichkeit, ein Konto zu übernehmen (Account Takeover).
• Dreamhost: XSS- und Information Disclosure-Schwachstellen, die dieOffenlegung von Informationen ermöglichen.
• HostGator: Information Disclosure-Schwachstellen und weitere Schwachstellen, die ein Umgehen der Zugangskontrolle ermöglichen.
• OVH: Information Disclosure-Schwachstellen und  mehrere weitere Schwachstellen.
• iPage: Übernahme des Benutzerkontos und mehrere weitere Schwachstellen.

Das Fazit lautet, dass die oben erwähnten Hoster sicherheitstechnisch löchrig wie ein Schweizer Käse sind. Bei Interesse, das Team von Websiteplanet.com hat hier einen Artikel mit Details veröffentlicht. Die Schwachstellen wurden nach der Meldung durch das Sicherheitsteam inzwischen von den Hostern geschlossen. Das  Team von Websiteplanet.com geht aber davon aus, dass ähnliche Schwachstellen auch bei anderen Hostern vorhanden sind. Ergänzung: Bei heise.de gibt es inzwischen diesen deutschsprachigen Artikel zum Thema.