RIAA-Hack war ein Kinderspiel

23. September 2002, 10:03
posten

Webmaster ließ Admin-Interface ohne Passwort offen zugänglich

Für Furore sorgte vor einigen Wochen der Hack der Webpage der Recording Industry Association of America (RIAA). Die Organisation, die hauptverantwortlich für den Kampf gegen Online-Tauschbörsen zeichnet, präsentierte sich statt mit den gewohnten Anti-Piraterie-Aussagen mit Aufrufen zum freien Kopieren, zusätzlich waren mehrere MP3s tagelang direkt von der Seite der RIAA herunterladbar (der Webstandard berichtete).

Simple Erklärung

War damals schon das hämische Gelächter groß, so erreicht es nun neue Höhen, da bekannt geworden ist, wie der "Hack" vorgenommen wurde. In einem Artikel auf der estischen Sicherheitsseite zone-h wird anhand eines Gesprächs zwischen Sherlock Holmes und Dr. Watson auf amüsante Weise das Mirakel gelöst: Der Webmaster hatte es den Eindringlingen äußerst leicht gemacht. Nicht nur, dass er ein Admin-Interface offen zugänglich gelassen hat, hat er bei diesem zusätzlich noch "vergessen" ein Passwort zu setzen, und zu allem Überdruss auch noch die robots.txt-Datei, die das Indizieren gewisser Teile einer Webpage durch Suchmaschinen verhindern soll, falsch geschrieben, so dass das Indizieren des Admin-Verzeichnisses ausdrücklich erlaubt war.

Die ausführlichere Lösung im englischen Original findet sich hier. (red)

Share if you care.