Sicherheitslücke aus 1998 bedroht Facebook und PayPal

Sicherheitsforscher warnen vor einer längst vergessen geglaubten Schwachstelle, die bei stark frequentierten Portalen wie Facebook und PayPal zu finden ist. Die unter dem Namen "ROBOT" bereits 1998 bekannt gewordene Schwachstelle kann ausgenützt werden, um die Verschlüsselung von Daten zu knacken und so Zugriff auf sensible Informationen zu bekommen, die eigentlich geschützt werden sollten. Die Wissenschaftler stellten ihre Entdeckungen in einem Blogposting vor.

Seit 19 Jahren bekannt

Offenbar geht es um diverse Webseiten, die auf RSA-Verschlüsselung und Zeichnungsvorgänge auf dem Server mit einem privaten Key setzen. Im Jahr 1998 ging es um das Sicherheits-Protokoll SSL - die Forscher konnten aber mit leichten Adaptionen zeigen, dass die Schwachstelle auch beim Nachfolgeprotokoll TLS, das für viele HTTPS-Verbindungen verwendet wird, ausgenutzt werden kann.

27 der 100 meist besuchten Webseiten sind betroffen. In vielen Fällen wurden die in den 90er-Jahren entwickelten Patches, welche die Lücke beheben sollten, nur schleißig umgesetzt, oder darauf vergessen. Auch einige getestete Firewalls und Load Balancer sollen die Verschlüsselung aushebeln, haben die Forscher nachgewiesen. User können gegen die Lücke eigentlich nichts tun, jetzt sind die Webseitenbetreiber gefordert, ihre Systeme und Verschlüsselungsmechanismen upzudaten.