Yahoo und WinZip bestätigen Hackerangriffe auf ihre Server

Yahoo und WinZip haben einen Bericht der Sicherheitsfirma Future South Technologies bestätigt, wonach Hacker in mehrere Server beider Unternehmen eingedrungen sind. Yahoo hat jedoch dementiert, dass die Angreifer die weitverbreitete Shellshock-Lücke in der Linux-Shell Bash benutzt haben. Zudem beteuerte der Internetkonzern, es seien keine Nutzerdaten entwendet worden.

Die Adressen der laut Jonathan Hall, President von Future South Technologies, kompromittierten Yahoo-Server weisen darauf hin, dass sie zum Dienst Yahoo Sports gehören. Am Montag hatte ein Yahoo-Sprecher mitgeteilt, dass „eine Handvoll“ seiner Server durch den Shellshock-Bug gehackt worden sei. Yahoos Chief Information Security Officer Alex Stamos widerrief diese Aussage später jedoch.

„Zuvor haben wir berichtet, dass wir eine Handvoll von Server isoliert haben, die einer Sicherheitslücke ausgesetzt waren“, schreibt Stamos in einem Blogeintrag. „Nach einer vollständigen Analyse der Situation hat sich herausgestellt, dass die Server tatsächlich nicht von Shellshock betroffen waren.“

Die Angreifer hätten vielmehr eine andere Anfälligkeit in einem Debugging-Skript ausgenutzt, das Yahoo zu dem Zeitpunkt ausgeführt habe, so Stamos weiter. Er wiederholte zudem die Aussage seines Kollegen, dass die Hacker keinen Zugriff auf Kundendaten hatten.

Hall wiederum zweifelt diese Aussage an. „Man kann nicht einfach annehmen, dass Nutzerdaten nicht betroffen waren“, sagte er. Er kritisierte zudem die Stellungnahme des Internetkonzerns zudem als zu vage. „Hast Du drei Server abgeschaltet oder eine Handvoll isoliert? Sobald man sich in einem Server befindet, ist es nicht sehr schwer, auf einen anderen überzuspringen.“

Darüber hinaus bleibt Hall bei seiner Aussage, die Hacker hätten bei ihrem Angriff auf Yahoo die Shellshock-Lücke benutzt. Genau genommen gehe es um eine Variante von Shellshock, was bei dem Bug keine unübliche Entwicklung sei. Tatsächlich musste auch Red Hat seinen Shellshock-Patch nachbessern, um alle Schwachstellen in Bash zu beseitigen.

WinZip hat laut Hall die Shellshock-Lücke in seinen Servern inzwischen geschlossen, ohne jedoch ihn oder die Öffentlichkeit zu informieren. Ein WinZip-Sprecher sagte CNET, es seien keine Nutzerdaten kompromittiert worden. Man wende nun „die passenden Softwareupdates an, da die Probleme identifiziert“ wurden.

Hall zufolge wurde auch die Suchmaschine Lycos Opfer eines Angriffs auf die Shellshock-Lücke. Das Unternehmen, das wie Yahoo und WinZip auch erst durch Hall von dem Einbruch erfahren hat, wollte sich nicht zu dem Vorgang äußern.

Ende September hatte unter anderem Red Hat vor der Shellshock genannten Sicherheitslücke in der unter Linux, Unix und OS X verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung wird Shellshock auch mit der OpenSSL-Lücke Heartbleed verglichen.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

17 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

2 Tagen ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

2 Tagen ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

2 Tagen ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

3 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

3 Tagen ago