Yahoo-Sprecherin verquatschte sich bei Messenger-Leck

EnterpriseSicherheit

Das jüngste, inzwischen gepatchte Leck in Yahoos ‘Messenger’-Software hätte gar nicht so schlimm werden müssen, wie es dann wurde.

Wie die US-Presse jetzt meldete, hatte sich eine Unternehmenssprecherin bei der Beschreibung des Fehlers zu weit vorgewagt. So weit, dass sich ein Hacker aus den Angaben der Sprecherin ein Exploit zusammenreimen und dies auch einsetzen konnte. Erst da wurde das Loch richtig gefährlich, hieß es jetzt in US-Medien.

Demnach sei eine ganze Reihe von Exploits für das Leck aufgetaucht, die im Internet international kursiert hätten. Sie erlaubten allesamt die Ausnutzung des Fehlers, um einem Hacker die Kontrolle über die angegriffenen Systeme in die Hand zu geben. Besonders ein Hacker, der sich “Danny” nennen soll, sei auf die Angaben der Sprecherin hin aktiv geworden.

Der Fall bringt wohl einen neuen Tonfall in das Bemühen der betroffenen Firmen, so wenig Informationen wie möglich preis zu geben, wenn ihnen ein Programmierfehler unterlaufen ist, oder aus anderen Gründen eine Tür für Hacker offen steht. Die Kunden auf der anderen Seite pochen in solchen Fällen auf ihr Recht, so viel wie möglich über einen Fehler zu erfahren, um sich besser schützen zu können – schließlich sitzen sie, was detaillierte Informationen über Produkte anbelangt, am kürzeren Hebel.

Bei Yahoos Lapsus war vergangene Woche eine nicht sehr detaillierte Meldung des Security-Unternehmens eEye vorausgegangen, dann gab es am vergangenen Freitag von Yahoo selbst einen Patch. Doch die Interviews, die in diesem Zusammenhang in der US-Presse mit der Sprecherin geführt wurden, waren wohl gefährlich deutlich. Von IT-Firmen ist nun zu erwarten, dass sie noch restriktiver mit Hintergrundinformationen zu eigenen Fehlern umgehen werden.