Ein rumänischer Hacker hat eine Schwachstelle in einer der offiziellen Web-Seiten des britischen Parlaments entdeckt. Angeblich erlaubt sie es sogar, Log-in-Daten von Parlamentsangehörigen abzufangen und damit Zugang zu vertraulichen Informationen zu erhalten.

In der IT-Sicherheitsszene ist der rumänische Hacker Unu kein Unbekannter. Im Februar gelang es ihm, mithilfe von SQL-Injection die Web-Sites der Security-Firma Symantec und der Zeitungen New York Times und International Herald Tribune zu »knacken«. Unu hackte auch die Internet-Auftritte von anderen renommierten Firmen, etwa des Antiviren-Spezialisten Bitdefender.

Jüngster Coup des Sicherheitsspezialisten ist die Web-Site des britischen Parlaments. Laut einem Bericht des Online-News-Dienste The Register gelang es Unu, durch Eingabe von Kommandos am Ende der Web-Adresse Zugang zum Web-Server und darauf lagernden sensiblen Informationen zu erhalten.

Bei dem »Test« ergatterte der Hacker die Account-Daten von acht Nutzern der Web-Site. Problematisch dabei ist vor allem, dass sich darunter vermutlich auch die Log-in-Informationen eines Web-Programmierers befinden, der den Web-Auftritt des Parlaments betreut. Ein solcher User verfügt im Vergleich zu »normalen« Nutzern über erweiterte Zugriffsrechte – ein gefundenes Fressen für jeden Angreifer.

Web-Seite derzeit offline

Die Passwörter und Log-in-Daten lagen in unverschlüsselter Form vor, ein grober Verstoß gegen Sicherheitsrichtlinien.

Wie bei seinen Angriffen auf die Sites von Unternehmen nutzte Unu ein SQL-Injection-Loch auf der Web-Seite des Parlaments. Die Site war heute (2. September) nicht zugänglich. Offenkundig sind die Programmierer dabei, die Sicherheitslücke zu analysieren beziehungsweise zu schließen.