myvideo: Sicherheitslücke entdeckt

**gullinews** · 02. 04. 2009, 15:09

Mithilfe eines simplen Skripts kann von jedem Benutzer von myvideo die E-Mail Adresse geändert werden, um den entsprechenden Account zu übernehmen. Es handelt sich dabei um Cross-Site Request Forgery (CSRF) Clickjacking.

Der Hacker unnex hat letzte Nacht ein anschauliches Video beim Videohoster myvideo eingestellt.

weiterlesen

**Ghandy** · 02. 04. 2009, 15:16

das gleiche Video auf youtube.

**Renagade** · 02. 04. 2009, 15:19

Will ja nicht wissen wie viele Kiddys jetzt auf MyVideo Strömen und anfangen da mist zu machen ...

Naja verdient hatt es die Billige Kopie von Youtube ja aber trotzdem ...

**Ghandy** · 02. 04. 2009, 15:23

Ich habe die Damen und Herren bei myvideo vorsichtshalber auf die Lücke hingewiesen!

**Renagade** · 02. 04. 2009, 15:32

Braver Ghandy

Hassu Fein gemacht :P

**stateX** · 02. 04. 2009, 15:37

Wunderbar, erst indirekt das Tutorial posten bzw. verlinken und dann anschwärzen.

**Ghandy** · 02. 04. 2009, 15:39

Dem Hacker geht es nach eigenen Angaben um Aufklärung. Das hat mit Anschwärzen nichts gemeinsam.

**iSliver** · 02. 04. 2009, 16:16

Das angeforderte Video ist nicht verfügbar oder wird von unserem Support Team geprüft

ging ja fix

**gbLöwe** · 02. 04. 2009, 16:19

Man muss aber immer noch jemandem den Link unterjubeln, der gerade in MyVideo eingeloggt ist. Mal eben schnell die Email von einem x-beliebigen User ändern geht damit nicht.

**stateX** · 02. 04. 2009, 16:19

@Ghandy:
"Anschwärzen" war vielleicht nicht der richtige Ausdruck aber es sollte klar sein was damit gemeint ist.

**Muhagglschorsch** · 02. 04. 2009, 16:23

... und die lücke bleibt weiterhin drin oder was?

**c64er** · 02. 04. 2009, 16:27

Zitat von gbLöwe

Man muss aber immer noch jemandem den Link unterjubeln, der gerade in MyVideo eingeloggt ist. Mal eben schnell die Email von einem x-beliebigen User ändern geht damit nicht.

Genau so schauts aus.

Von der Schreibweise des Kerls her, scheint er noch recht Jung zu sein. Ich verstehe nicht, warum er die Lücke nicht selbst an MyVideo herangetragen und somit einen Deal mit denen abgeschlossen hat.

Denke da hätte er sicherlich ein paar Euros mit verdienen können. Aber wie kann man soch ein Tutorial auf dem gleichen Portal posten, welches man zuvor angegriffen hat. Das verstehe ich nicht. Ausserdem finde ich den letzten Satz in seinem Video wirklich lächerlich ... "Bitte nicht nachmachen ... ich distanziere mich von meinem Tutorial usw ... usw".

Es liegt doch auf der Hand das es nun einige nachmachen und somit auf MyVideo ihr Unwesen treiben.

Ich verstehe solche Burschen nicht. Da haben sie einmal die Möglichkeit etwas Taschengeld zu verdienen und dann machen sie es auf dem selbigen Portal publik. Da kann man sich nur an den Kopf fassen ....

Greetz
c64er

**gbLöwe** · 02. 04. 2009, 16:41

Zitat von c64er

Denke da hätte er sicherlich ein paar Euros mit verdienen können.

Und wie stellt Du Dir das vor? "Wenn Ihr mir Geld gebt, verrate ich Euch eine Sicherheitslücke." klingt stark nach Erpressung. So oder so: Ohne einen Nachweis wird sich keine Firma auf sowas einlassen und mit Nachweis braucht man sein "Wissen" ja nicht mehr...

So hat ers zumindest in die Gulli-News geschafft.

**legomann2** · 02. 04. 2009, 16:43

Zitat von iSliver

Das angeforderte Video ist nicht verfügbar oder wird von unserem Support Team geprüft

ging ja fix

youtube hat´s aber noch. sind die denn verfeindet oder was?

**c64er** · 02. 04. 2009, 16:53

Zitat von gbLöwe

Und wie stellt Du Dir das vor? "Wenn Ihr mir Geld gebt, verrate ich Euch eine Sicherheitslücke." klingt stark nach Erpressung. So oder so: Ohne einen Nachweis wird sich keine Firma auf sowas einlassen und mit Nachweis braucht man sein "Wissen" ja nicht mehr...

So hat ers zumindest in die Gulli-News geschafft.

In's Impressum schauen, anrufen, Termin abstimmen, hinfahren und verhandeln. Wenn der Preis feststeht,dann mit der Demo beginnen. Bei Geldübergabe das Script aushändigen. Was soll daran Erpressung sein? Das ist ein fairer Deal. Lücke gefunden, Lücke ohne es publik zu machen mitgeteilt. Fairer gehts doch nicht.

Berichtigt mich bitte wenn ich das falsch sehe.

nathan west · 02. 04. 2009, 17:33

Zitat von Ghandy

Dem Hacker geht es nach eigenen Angaben um Aufklärung. Das hat mit Anschwärzen nichts gemeinsam.

Bullshit. Und das weisst du genauso wie ich.

Ausserdem weisst du, das es ganz schlechter Stil ist, Tutorials zu Schwachstellen zu posten oder zu verlinken, BEVOR man dem Betreiber der Lücke Zeit zum schliessen gelassen hat.

Das weisst du hoffentlich. Sonst wärst du hier nämlich eine Fehlbesetzng.

**c64er** · 02. 04. 2009, 17:54

Zitat von nathan west

Bullshit. Und das weisst du genauso wie ich.
Ausserdem weisst du, das es ganz schlechter Stil ist, Tutorials zu Schwachstellen zu posten oder zu verlinken, BEVOR man dem Betreiber der Lücke Zeit zum schliessen gelassen hat.

Da ist ein Fünkchen Wahrheit dran. Wenn ich mir es recht überlege hat nathan west sogar etwas recht mit dem was er da schreibt. Hoffe das jetzt nicht Jemand bei MyVideo petzen geht und die URL zu diesem Thread mitteilt. Denke das wäre schlecht für das Board

Das weisst du hoffentlich. Sonst wärst du hier nämlich eine Fehlbesetzng.

Ruhig an ... wollen doch nicht zu hart ins Gericht gehen oder?

**Ghandy** · 02. 04. 2009, 18:53

@C64er: Ja, das siehst du falsch. Bei einer Geldübergabe würde er den Fall nämlich nicht publik machen. Das ist nicht den Tatsachen entsprechend und weit hergeholt, sorry.

**ever-online** · 02. 04. 2009, 19:34

Hier kann man es sich doch runterladen?
http://htevil.ht.funpic.de/myvideo/m...ickjacking.rar

Die Adresse stammt aus dem Video.

**Md5cracker_org** · 02. 04. 2009, 20:38

Das ist doch keine Sicherheitslücke oO

Er hat einfach nur das Formular auf billige Art und Weise kopiert, es ist quasi das gleich, als wenn man bei MyVideo sein E-Mail ändert...

So ein Script funktioniert sicher auch bei Youtube oder sogar hier im Forum...