Der Hacker Matthias Ungethüm wurde fündig. Er entdeckte eine Sicherheitslücke bei Interpol. Über einen manipulierten Link setzte er den sächsischen Innenminister Markus Ulbig (CDU) auf die öffentliche Fahndungsliste. Dem MDR sagte er: "Wir müssen noch nicht einmal eine Seite fälschen. Wir können alles direkt über die Website von Interpol verbreiten."
Ungethüm ging folgendermaßen vor: Er verlängerte den Original-Link, der auf die Homepage führt. Dies hat zur Folge, dass die Seite beim Anzeigen umgebaut wird. Dieser Link lässt sich dann beispielsweise in einen Facebook-Artikel oder in eine E-Mail setzen, um ihn zu verbreiten. "Man öffnet die E-Mail, hat einen Text drin stehen, klickt auf den Text und kommt direkt zur Interpolseite", erläutert Ungethüm.
Sicherheitslücke erst nach Tagen geschlossen
Der Eingriff war möglich, weil der Webserver von Interpol das Ausführen von Programmbefehlen, die von außen kommen, nicht komplett unterbinden konnte. Das sogenannte Cross Site Scripting kann dazu verwendet werden, unerwünschte Inhalte auf einer Homepage erscheinen zu lassen.
Ungethüm machte nach eigenen Angaben Interpol bereits am 30. Mai auf die Sicherheitslücke aufmerksam, ohne dass die Organisation reagierte. Nachdem mehrere Medien über den Fall berichteten, wurde die Lücke inzwischen geschlossen.
(fe/tzi)