this post was submitted on 18 May 2025
21 points (95.7% liked)

EDV-Sicherheit

320 readers
1 users here now

EDV-Sicherheit ist IT Security auf Deutsch. Posts können in Deutsch und Englisch erstellt werden.

Wikipedia: "Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. "

Verwandte Communities:

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Bitte beachtet die Regeln von Feddit.org.

Attribution

  • Das Banner zeigt ein von marv99 mit Image Creator erzeugtes Bild zum Prompt "How could a security issue look like as a picture?"

  • Das Icon zeigt ein von marv99 mit Le Chat erzeugtes Bild eines Vorhängeschlosses.

founded 1 year ago
MODERATORS
marv99@feddit.org
cron@feddit.org
21
Unerwünschte Zivilcourage bei Hackern? (www.tagesschau.de)
submitted 7 months ago by schnurrito@discuss.tchncs.de to c/edv_sicherheit@feddit.org
4 comments fedilink hide all child comments
you are viewing a single comment's thread
view the rest of the comments
[–] nicerdicer@feddit.org 7 points 7 months ago (1 children)

Ich verstehe auch nicht, warum von Sicherheitslücken betroffene Anbieter diese Hinweise nicht einfach dankend annehmen. Es trägt ja zur allgemeinen Sicherheit einer App bei. Stattdessen reagiert man so, als wäre man ertappt worden und versucht die Hinweisgeber durch ein Strafverfahren einzuschüchtern.

Am Besipiel der eletronischen Patientenakte sieht man aber ganz deutlich, dass das Aufzeigen von Sicherheitslücken durch Dritte als Störfaktor wahrgenommen wird, anstatt als wertvoller Hinweis. Die Hinweisgeber bringen Unruhe in das Gefüge, und das ist nicht gut, wo man doch froh ist, dass der Bums gerade eben so funktioniert.

Mit dieser Aussicht auf "Belohnung" kann ich mir auch gut vorstellen, wenn dann Option 3) angewendet wird: Die geleakten Daten direkt im Darknet verhökern.

[–] elvith@feddit.org 3 points 7 months ago

Ich hatte vor ner Weile den Fall, dass ich eine API eines Onlineshops abfragen wollte für nen Alert, wenn ein bestimmter Preis unterschritten wird - also einfach ein GET auf den Endpoint, den auch das JS der Seite nutzt um die Artikel zu laden.

Ich hab im Script versehentlich statt https://example.com/product/$productID dann https://example.com/product/$productName aufgerufen - und der Produktname hatte bei meinen Tests zufällig ' im Namen. Aufgrund der resultierenden Fehlermeldung zum Syntaxfehler des SQL war klar, dass hier direkt ne SQL-Injection vorliegt.

Das war genau zu der Zeit als der Fall hier in den Medien war. Ich hab halt die Klappe gehalten und es ignoriert - zwei Monate vorher hätte ich vielleicht ne freundliche Mail geschrieben, aber zu der Zeit (und auch heute)? Egal. Wenn überhaupt - vorallem bei einer besonders leicht auffälligen Lücke wie hier - würde ich vielleicht der c't oder jemandem beim CCC den Tipp geben, dass man bei dieser URL ja bloß nix anderes als nen int als ID verwenden sollte…