Heartbleed: Anonymous Austria brachte Banken und Webseiten-Betreiber in Zugzwang



Am 8. April wurde eine schwerwiegende Sicherheitslücke bei OpenSSL bekannt gemacht. Als Spitzname bekam die kritische Sicherheitslücke den Namen Heartbleed Bug. Der Twitter Account AnonAustria von Anonymus twitterte am 8. und 9. April 2014 Tweets, um die Öffentlichkeit auf die Sicherheitslücke bei Internetseiten wie beispielsweise von der Erste Bank / Sparkassen, den Wiener Linien, Ticket Express und so weiter, hinzuweisen. Dafür bedienten sie sich „eigener“ Methoden und brachten die Internetserver der betreffenden Webseiten dazu, über manipulierte Datenpakete, Login-Daten und im Fall der Banken, auch Informationen über getätigte Überweisungen auszugeben. Das Resultat veröffentlichte AnonAustria als Dump und verschleierten hier und da paar Zeilen.


Betroffen war dadurch auch die Erste Bank beziehungsweise das Sparkassen-Portal in Österreich. Erst nach ein paar Stunden aktualisierten die Betreiber ihre Server und tauschten die Zertifikate aus. Vermutlich durch Veröffentlichungen seitens AnonAustria und Fernsehberichten am 9. April im ORF, entschloss sich der Sparkassen Verbund / Steiermärkische Sparkasse ihre Kunden beim Login über den Vorfall zu informieren:

(…) vor kurzem wurde eine Schwachstelle in der SSL-Verschlüsselung bekannt, die dazu dient, sichere Verbindungen im Internet aufzubauen.
Davon war leider auch das netbanking der Erste Bank und Sparkassen betroffen.
Die Schwachstelle konnte bereits am 8.4.2014 geschlossen werden!
Es bestand jedoch kurzzeitig die Möglichkeit verschlüsselte Daten abzurufen.
Aufgrund unserer zusätzlichen Sicherheitsmaßnahmen sind jedoch keine Passwörter klartextlich auslesbar gewesen.
Trotzdem empfehlen wir Ihnen Ihr Passwort (jetzt und in regelmäßigen Abständen) zu ändern.
Das können Sie jederzeit und ganz einfach nach dem Login ins netbanking tun. (linke Menübox „Persönliche und netbanking Einstellungen verwalten“ / „Passwort ändern“) (…)

 Link:

Heartbleed Test
Heartbleed Webdienste Liste: Welche Passwörter gleich geändert werden sollten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.