Hacker schmuggelt Sachsens Innenminister auf Fahndungsliste von Interpol

Er nutzte dazu eine Cross-Site-Scripting-Lücke aus, die inzwischen geschlossen wurde. Mittels eines verlängerten Links auf die Interpol-Seite konnte er Falschinformationen einschleusen. So machte er den CDU-Politiker Markus Ulbig zu einem vermeintlich international gesuchten Verbrecher.

Der deutsche Hacker Matthias Ungethüm hat auf der Website von Interpol eine Sicherheitslücke entdeckt. Über diese konnte er die Online-Fahndungsliste des Zusammenschlusses nationaler Polizeibehörden manipulieren. So machte er kurzerhand Sachsens Innenminister Markus Ulbig (CDU) zu einem vermeintlich international gesuchten Verbrecher.

So war auf der Interpol-Website unter der Überschrift „Gesucht von den deutschen Strafverfolgungsbehörden“ ein Foto sowie der Name von Markus Ulbig zu finden. Die angebliche Anklage lautete: „Versuchte Massenüberwachung von 55.000 Mobiltelefonen und Sammeln von mehr als einer Million Verbindungsdaten.“

Sachsens Innenminister Markus Ulbig auf der Fahndungsliste von Interpol (Screenshot: Mopo24)Sachsens Innenminister Markus Ulbig auf der Fahndungsliste von Interpol (Screenshot: Mopo24)

Wie der MDR und Mopo24 berichten, musste Ungethüm lediglich einen Link auf die originale Interpol-Website verlängern, um die von ihm bereitgestellten Informationen dort anzeigen zu lassen. Dies war möglich, weil der Interpol-Server die ihm zugeschickten Links offenichtlich nicht ausreichend kontrollierte.

Allerdings war die manipulierte Fahndungsliste nicht für normale Site-Besucher sichtbar. Stattdessen müsste der verlängerte Link via Facebook, Twitter oder E-Mail verbreitet werden, so dass der Empfänger direkt auf der Interpol-Seite mit den untergeschobenen Informationen landet. Dann dürfte er diese aber auch für authentisch halten.

WEBINAR

Effiziente Kollaboration mit Wissensarbeitern

Durch komplexe Projekte, die schnellen Austausch mit Experten an verschiedenen Standorten erforderlich machen, nimmt der Bedarf an effizienter und agiler Zusammenarbeit ständig zu. In diesem kostenfreien Webinar erfahren Sie, wie sich Unternehmen das dringend benötigte Expertenwissen ins Haus holen, ohne zusätzliche Kosten zu produzieren.

Nach eigenen Angaben hat Ungethüm Interpol bereits am 30. Mai über das offizielle Kontaktformular auf die Cross-Site-Scripting-Lücke hingewiesen, über die theoretisch auch Schadcode hätte verbreitet werden können. Eine Reaktion seitens der Behörde blieb aber aus. Beseitigt wurde die Schwachstelle erst, nachdem der MDR am heutigen Vormittag darüber berichtet hatte.

Der Hacker aus dem sächsischen Geringswalde hatte schon vor gut zwei Jahren für Aufsehen gesorgt, als er auf ähnliche Weise die Website des US-Auslandsgeheimdientes NSA manipulierte. Im März 2015 entdeckte er zudem eine Cross-Site-Scripting-Lücke auf der FBI-Homepage, die ebenfalls das Einschleusen von Falschinformationen erlaubte.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Hacker, Interpol, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hacker schmuggelt Sachsens Innenminister auf Fahndungsliste von Interpol

Kommentar hinzufügen
  • Am 7. Juli 2016 um 10:28 von Karl Napp

    Gut gemacht.
    Jetzt noch Merkel auf die Fahndungsliste wegen Rechtsbeugung und Verbrechen gegen das eigene Volk.

    • Am 7. Juli 2016 um 14:01 von Frank_Furter

      LOL!
      Da gäbe es noch eine Menge mehr…

      Satire = on
      —->
      Aber, aber!
      „Volk“ ist doch ein Wort, das die Nationalsozialisten erfunden haben!
      Jeder Satz, der dieses verbotene Wort enthält, ist Nazi-Hetze!
      <—-
      Satire = off

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *