Hacker warnt Nasdaq vor Sicherheitslöchern
Ein holländischer Hacker hat angegeben, in die Website der Nasdaq sowie in drei MarketWatch.com Sites eindringen zu können.
Er hat sich allerdings zurückgehalten und die Systemadministratoren von Nasdaq.com, CBS.MarketWatch.com, BigCharts.com und FTMarketWatch.com gewarnt. Gerrie Mansur, einer der Leiter der niederländischen Hackergruppe Hit2000, hatte sich Zugang zur global.asa-Datei verschafft, die globale Einstellungen für Applikationen sowie Zugangsberechtigungen beinhaltet. Die global.asa von Nasdaq.com hatte das Passwort zur Hauptdatenbank integriert.
Dabei hat Mansur bekannte Sicherheitslöcher des Microsoft IIS Webservers ausgenutzt, offensichtlich einen Bug namens "Source Fragment Disclosure Vulnerability".
NasdaqDetails zu dieser Sicherheitslücke wurden bereits am 17. Juli auf der Bugtraq-Mailingliste veröffentlicht, einem zentralen Organ für Computer Security. Mansur allerdings behauptet, ein eigenes Script als Angriffsform verwendet zu haben. Den Exploit will er nicht veröffentlichen.
Mansur hat die Webmaster per E-Mail gewarnt, diese wiederum haben sich dankbar gezeigt und haben sofort reagiert.