whitehat, blackhat, Rabbitz.org
Foto heartbeaz, thx! (CC BY 2.0)

Rabbitz.org warnt vor kritischen Sicherheitslücken

Bei Rabbitz.org wird vor offenen Sicherheitslücken populärer Webseiten gewarnt. Werden diese nicht geschlossen, sollen sie unzensiert veröffentlicht werden.

Die anonymen Datenschützer des neuen Online-Projekts Rabbitz.org haben die IT-Sicherheit diverser populärer Webseiten im Fokus. Schließen die angeschriebenen Firmen die Sicherheitslücken nicht nach vorheriger Kontaktaufnahme und trotz einer gewissen Wartezeit, so veröffentlichen die Macher die Informationen unzensiert. Betreiber ist die in Deutschland beheimatete Gruppierung „White Rabbitz“.

Die Problematik kennt jeder White-Hat, der schon einmal versucht hat, Firmen über vorhandene Sicherheitslücken aufzuklären. Rein rechtlich befindet man sich seit dem Jahr 2007 auf der Verliererseite, weil schon der Versuch nach einer Lücke zu suchen, laut dem in Deutschland gültigen Hackerparagrafen verboten ist. Das gilt bekanntlich auch für Admins, die ihren eigenen Webserver absichern wollen. Nur zu gerne werden solche Nachrichten ignoriert oder die Hinweisgeber mit strafrechtlichen Konsequenzen bedroht, sollten sie mit der Lücke an die Öffentlichkeit gehen wollen.

Die deutschsprachigen Betreiber von Rabbitz.org waren früher in entsprechenden Communites unterwegs. snop und igdrazil haben bereits mehrere Unternehmen beziehungsweise Behörden angeschrieben, die Ziel eines erfolgreichen Hackerangriffs werden könnten. Bei einer Subdomain von Bundestag.de wurde man gleich mehrfach fündig. Der Proof of Concept wurde aber erst veröffentlicht, nachdem die Bugs geschlossen waren. Dicht ist nun auch eine simple XSS-Lücke bei heise online.

Rabbitz.org will Druck ausüben

Dem hingegen warten die Aktivisten beispielsweise noch auf eine Antwort der Berliner Watchever GmbH. Der deutschsprachige Online-Streaming-Dienst soll nach Vernehmen von Rabbitz.org über eine kritische Lücke verfügen. Über diese könnten Cyberkriminelle die Kreditkartendetails und weitere Angaben (Namen, E-Mail-Adressen, Anschriften etc.) der Watchever-Kunden abgreifen. Die bislang publizierten Informationen wurden so gehalten, dass man die Sicherheitslücke nicht ohne weiteres komplett nachvollziehen kann. Rabbitz.org will sich selbst nicht zum Helfershelfer von Verbrechern machen.

Allerdings hat man auch angekündigt, dass man diesen Bug nach Ablauf der Frist in vollem Umfang veröffentlichen will. Die Tochtergesellschaft der französischen Vivendi SA dürfte darüber weniger glücklich sein. Infolgedessen ist es wenig verwunderlich, dass die Mitglieder der Gruppierung „White Rabbitz“ (kurz: WRZ) keine Realdaten und auch keine ladungsfähige Adresse auf ihrer Webseite angegeben haben. Ein Impressum sucht man dort vergebens.

Update: Leider ist Rabbitz.org schon wieder offline. Anfangs fand die Seite viel Anklang, wie man unseren Kommentaren entnehmen kann.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.