Die anonymen Datenschützer des neuen Online-Projekts Rabbitz.org haben die IT-Sicherheit diverser populärer Webseiten im Fokus. Werden die Sicherheitslücken nach vorheriger Kontaktaufnahme trotz einer gewissen Wartezeit nicht geschlossen, sollen diese unzensiert veröffentlicht werden. Betreiber ist die in Deutschland beheimatete Gruppierung „White Rabbitz“.
Die Problematik kennt jeder White-Hat, der schon einmal versucht hat, Firmen über vorhandene Sicherheitslücken aufzuklären. Rein rechtlich befindet man sich seit dem Jahr 2007 auf der Verliererseite, weil schon der Versuch nach einer Lücke zu suchen, laut dem in Deutschland gültigen Hackerparagrafen verboten ist. Das gilt bekanntlich auch für Admins, die ihren eigenen Webserver absichern wollen. Nur zu gerne werden solche Nachrichten ignoriert oder die Hinweisgeber mit strafrechtlichen Konsequenzen bedroht, sollten sie mit der Lücke an die Öffentlichkeit gehen wollen.
Die deutschsprachigen Betreiber von Rabbitz.org waren früher in entsprechenden Communites unterwegs. snop und igdrazil haben bereits mehrere Unternehmen beziehungsweise Behörden angeschrieben, die Ziel eines erfolgreichen Hackerangriffs werden könnten. Bei einer Subdomain von Bundestag.de wurde man gleich mehrfach fündig. Der Proof of Concept wurde aber erst veröffentlicht, nachdem die Bugs geschlossen waren. Dicht ist nun auch eine simple XSS-Lücke bei heise online.
Rabbitz.org will Druck ausüben
Dem hingegen warten die Aktivisten beispielsweise noch auf eine Antwort der Berliner Watchever GmbH. Der deutschsprachige Online-Streaming-Dienst soll nach Vernehmen von Rabbitz.org über eine kritische Lücke verfügen, über die Cyberkriminelle die Kreditkartendetails und weitere Angaben (Namen, E-Mail-Adressen, Anschriften etc.) der Watchever-Kunden abgreifen können. Die bislang publizierten Informationen wurden so gehalten, dass man die Sicherheitslücke nicht ohne weiteres komplett nachvollziehen kann. Rabbitz.org will sich selbst nicht zum Helfershelfer von Verbrechern machen. Allerdings wurde auch angekündigt, dass auch dieser Bug nach Ablauf der Frist in vollem Umfang veröffentlicht werden soll. Die Tochtergesellschaft der französischen Vivendi SA dürfte darüber weniger glücklich sein. Infolgedessen ist es wenig verwunderlich, dass die Mitglieder der Gruppierung „White Rabbitz“ (kurz: WRZ) keine Realdaten und auch keine ladungsfähige Adresse auf ihrer Webseite angegeben haben. Ein Impressum sucht man dort vergebens.
Die Problematik kennt jeder White-Hat, der schon einmal versucht hat, Firmen über vorhandene Sicherheitslücken aufzuklären. Rein rechtlich befindet man sich seit dem Jahr 2007 auf der Verliererseite, weil schon der Versuch nach einer Lücke zu suchen, laut dem in Deutschland gültigen Hackerparagrafen verboten ist. Das gilt bekanntlich auch für Admins, die ihren eigenen Webserver absichern wollen. Nur zu gerne werden solche Nachrichten ignoriert oder die Hinweisgeber mit strafrechtlichen Konsequenzen bedroht, sollten sie mit der Lücke an die Öffentlichkeit gehen wollen.
Die deutschsprachigen Betreiber von Rabbitz.org waren früher in entsprechenden Communites unterwegs. snop und igdrazil haben bereits mehrere Unternehmen beziehungsweise Behörden angeschrieben, die Ziel eines erfolgreichen Hackerangriffs werden könnten. Bei einer Subdomain von Bundestag.de wurde man gleich mehrfach fündig. Der Proof of Concept wurde aber erst veröffentlicht, nachdem die Bugs geschlossen waren. Dicht ist nun auch eine simple XSS-Lücke bei heise online.
Rabbitz.org will Druck ausüben
Dem hingegen warten die Aktivisten beispielsweise noch auf eine Antwort der Berliner Watchever GmbH. Der deutschsprachige Online-Streaming-Dienst soll nach Vernehmen von Rabbitz.org über eine kritische Lücke verfügen, über die Cyberkriminelle die Kreditkartendetails und weitere Angaben (Namen, E-Mail-Adressen, Anschriften etc.) der Watchever-Kunden abgreifen können. Die bislang publizierten Informationen wurden so gehalten, dass man die Sicherheitslücke nicht ohne weiteres komplett nachvollziehen kann. Rabbitz.org will sich selbst nicht zum Helfershelfer von Verbrechern machen. Allerdings wurde auch angekündigt, dass auch dieser Bug nach Ablauf der Frist in vollem Umfang veröffentlicht werden soll. Die Tochtergesellschaft der französischen Vivendi SA dürfte darüber weniger glücklich sein. Infolgedessen ist es wenig verwunderlich, dass die Mitglieder der Gruppierung „White Rabbitz“ (kurz: WRZ) keine Realdaten und auch keine ladungsfähige Adresse auf ihrer Webseite angegeben haben. Ein Impressum sucht man dort vergebens.
