Solche Erfolge zeigen, dass sich auch die unbezahlte Arbeit lohnen kann. Vor weniger als 48 Stunden erhielt die AOK eine Meldung, mit einem Hinweis auf eine Sicherheitslücke in deren Internetportal. Die mehrfach ausgezeichnete Internetpräsenz, war von einer Sicherheitslücke betroffen. Über ungefilterte Parameter in der Suchfunktion konnte beliebiger Schadcode in die aufgerufenen Seiten integriert werden. Ein Angreifer hätte somit die Möglichkeit gehabt, über im Internet verstreute oder per Email versendete, manipulierte Hyperlinks, sensible Daten der Besucher und Administratoren zu stehlen oder gar Malware auf deren Rechner zu schleusen.

[stream provider=youtube flv=http%3A//www.youtube.com/watch%3Fv%3D2uR0bIxR3PE img=x:/img.youtube.com/vi/2uR0bIxR3PE/0.jpg embed=false share=false width=590 height=320 dock=true controlbar=over bandwidth=high autostart=false /]
(Video: Demonstration der Sicherheitslücke)

Bereits wenige Stunden nach unserem Hinweis, erhielt man erste Rückfragen. Man hat die Hinweise sofort ernst genommen und entsprechend reagiert. Nach einer ausführlichen Email und einem simulierten Angriff auf das AOK Internetportal, konnte man die Erkenntnisse zur Sicherheitslücke erfolgreich vermitteln. Bereits innerhalb der ersten 24 Stunden nach der Demonstration der Sicherheitslücke, wurde diese von den zuständigen Mitarbeitern behoben. Ein weiterer, kurzer Test ergab nun, dass die Gefahr beseitigt wurde und ein bösartiges Ausnutzen der Schwachstelle nicht mehr möglich ist.

Auch wenn ich persönlich sonst kein Fan der AOK bin, muss ich sagen, dass die Kooperation sehr gut war. Zwar erhielt man auch hier nicht unbedingt ausführliches Feedback oder Lageberichte, die Probleme aber wurden sehr schnell und sauber beseitigt. In diesem Fall ein “Daumen hoch” an die AOK!