Eine Vielzahl an potenziell gefährlichen Sicherheitslücken wurde kürzlich in vielen beliebten Newsletter-, E-Mail-Marketing- und Bulk-SMS-Diensten entdeckt. In Zusammenarbeit mit den Herstellern und dem BSI konnte das IT-Sicherheitsunternehmen Nside die Schwachstellen beheben.
Die kritischste Lücke dürfte wohl die SQL-Injection-Schwachstelle sein, die Zugriff auf die gesamte Kundendatenbank ermöglichte. Außerdem wurde eine Cross-Site-Scripting-Lücke entdeckt, durch die Sitzungscookies gestohlen werden konnten.
Die meisten Schwachstellen wurden bereits behoben. Ob die Lücken bereits aktiv ausgenutzt wurden, ist jedoch nicht bestätigt. Wie Nside in einem Blog-Eintrag erklärt, sei anhand der Sachlage davon auszugehen, dass auch der Umfang der gestohlenen Daten unbekannt sei. Zudem könne man erwarten, dass ähnliche Lücken in der Software weiterer Newsletter-Dienste zu finden seien.
