COMPUTERBILD deckt auf: Datenleck bei "Deutschland sucht den Superstar"
Archivmeldung vom 11.02.2009
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 11.02.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittGrobe Patzer und Skandälchen sind bei der Casting-Show "Deutschland sucht den Superstar" (DSDS) an der Tagesordnung. Doch bisher betrafen sie mehr die Gesangstalente der Bewerber sowie die Urteile und Sprüche von Dieter Bohlen.
Jetzt deckt COMPUTERBILD auf: Eine Datenbank mit Bewerbern der aktuellen 6. Staffel lag offen im Internet, für jeden Datendieb mit genügend Hackerwissen erreichbar. Insgesamt über 18.000 Datensätze aller Bewerber, die sich per Internet für ein Casting angemeldet hatten. Inhalt: Name, Anschrift, Telefon- und/oder Handynummer, Geburtsdatum, Beruf, Schule, Nationalität sowie Infos zu Hobbys, Freizeitgestaltung und besonderen Talenten der Bewerber.
COMPUTERBILD wurde von einem Hacker auf die Sicherheitslücke aufmerksam gemacht. Für den Angriff auf die Datenbank reichte letztlich ein Aufruf der Internetseite RTLkino.de mit weiterführenden Datenbankbefehlen in der Adresszeile. Damit konnten dann nacheinander einzelne Datensätze der Bewerber abgerufen werden. In Fachkreisen nennt sich dieser Angriff SQL-Injection. Er führt nur zum Erfolg, wenn der Server unzureichend gesichert ist.
Der Redaktion liegen die Datensätze eines 27-jährigen Kochs aus Thüringen und eines knapp 18-jährigen Schülers aus Niedersachsen vor. Beide haben sich laut Zeitstempel gleich am 30. Juni vergangenen Jahres per Internetformular in die Bewerberliste eingetragen. Einen Tag vorher hatte die Bewerbungsfrist für Deutschlands bekannteste Casting-Show begonnen. "Es ist traurig, dass die Daten so schlecht geschützt sind", sagte einer der Betroffenen, als die Redaktion ihn telefonisch mit seinen Daten konfrontierte.
COMPUTERBILD informierte umgehend den Sender RTL und die Tochterfirma RTL interactive über die Sicherheitslücke. RTL interactive ist für die Internetseite rtl.de verantwortlich. Thomas Bodemer von der Pressestelle bestätigte nach interner Prüfung die Sicherheitslücke. "Der Hacker hatte damit theoretischen Zugriff auf die genannte Anzahl von Datensätzen", sagte er. Gleichzeitig wiegelte Bodemer ab: "Die Daten waren zu keinem Zeitpunkt frei und öffentlich im Netz verfügbar, denn all unsere Daten sind durch umfangreiche Sicherungssysteme geschützt." Inzwischen sei die Angriffsmöglichkeit ausgeschlossen. Laut Hacker gab es die Lücke auf rtl.de allerdings schon vor einem Dreivierteljahr, nun habe er "einfach noch einmal nachgeschaut" und sei wieder erfolgreich gewesen.
Quelle: COMPUTERBILD