Späte Weihnachten für HackerInnen

29. Dezember 2002, 15:33
11 Postings

Sicherheitslücken bei Online-Gewinnspielen sorgen dafür, dass "Peter Lustig" kräftig Preise absahnt

Einen Spaß haben sich mehrere HackerInnen mit diversen Online-Spielen erlaubt. Wie die unter dem Pseudonym "Peter Lustig" agierenden Personen bei einer Präsentation auf dem 19. Chaos Communication Congress (19C3) vorzeigten, ist es ein leichtes bei zahlreichen Gewinnspielen abzusahnen.

Autos zu gewinnen

So geschehen im "Wunschwald" auf der Webpräsenz von Mercedes-Benz, ein Gewinnspiel, bei dem es wöchentlich MD-Player, Handys, iPAQs, Digi- und Video-Cams zu gewinnen gibt, als Hauptpreis wartet im Finale ein Mercedes der A-Klasse. Ein Ziel dem die Hacker bereits recht nahe gekommen sind, obwohl sie auf der Seite "Grüße vom 19C3" hinterließen und den Wunsch äußerten, "dass jemand diese Applikation sicher programmieren würde, ohne dass sich die Spielewerte ändern lassen".

Abgeräumt

Ein weiteres - der durch Screenshots dokumentierten Beispiele ist das "Full of Energy Game" von Ovomaltine. Bei diesem gibt es zwar "nur" Plätze für die "Slide&Snow&Dance"-Party in Gstaad zu gewinnen, dafür rissen sich die HackerInnen hier gleich alle davon unter den Nagel.

Fehlerhaft

Möglich wird dies alles durch schlechte Programmierung der Gewinnspiele, zwar wird meist viel Zeit in das Aussehen aber recht wenig Aufwand in die Sicherheit gesteckt. So sei es üblich, dass die Applikationen keine Checksummen verwenden, und so die Ergebnisse ungeprüft zum Server geschickt werden. (red)

Link

19C3

  • Bild nicht mehr verfügbar
Share if you care.