103560

Kurz-URL-Dienst leitete Millionen URLs falsch um

17.06.2009 | 10:14 Uhr |

Der Kurz-URL-Dienst Cligs, Konkurrent des besser bekannten Dienstes TinyURL, wurde gehackt. Dadurch wurden Millionen von Anwender nicht zum gewünschten Ziel weitergeleitet.

Cligs kann dazu genutzt werden, um lange URLs zu verkürzen, damit URL-Angaben bei Twitter nicht zu viele Zeichen verschlingen. Der Dienst wurde laut Angaben eines Sicherheitsexperten am Wochenende angegriffen und manipuliert.

Über 2,2 Millionen Web-Adressen wurden dabei auf einen Blog von Kevin Saban umgeleitet, der auf der Website von Orange County erscheint. Saban informierte umgehend die Macher von Cligs, nachdem er einen dramatischen Anstieg an Zugriffen verzeichnete und die Ursache dafür fand. Saban selbst nutzt ebenfalls Cligs für seinen Twitter, um URLs in verkürzter Form darstellen zu können.

"Unser erste Gedanke war, dass es sich um eine Spam-Kampagne handelt, die die User beispielsweise auf Porno-Websites umleitet", so Graham Cluley, Sicherheitsexperte bei Sophos. Die User wurden aber tatsächlich auf den Blog von Saban umgeleitet. In diesem Fall scheint es also keine finanziellen Motive bei der Attacke gegeben zu haben. Cluley weist aber auch darauf hin, dass die Angreifer die User auf eine mit Malware infizierte Website hätten umleiten können.

Zudem gehört Cligs nicht zu den bei Twitter beliebtesten Kurz-URL-Diensten. Dazu gehören TinyURL und bit.ly. Wären diese Dienste erfolgreich attackiert worden, hätten die Auswirkungen schlimmer sein können.

Die Macher von Cligs haben in einem Blog-Eintrag bestätigt, dass der Dienst gehackt wurde. Dabei sei von den Angreifern eine Sicherheitslücke ausgenutzt worden, die nun entdeckt und geschlossen worden ist. Die Attacke habe dafür gesorgt, dass die meisten Cligs-URLs auf dieselbe URL weitergeleitet wurden. Der Angreifer nutzte eine kanadische IP-Adresse. Besonders ärgerlich für die Cligs-Betreiber und -Nutzer: Alle seit Anfang Mai erstellten Cligs-URLs sind verloren gegangen. Aus irgendeinem Grund habe der Host des Dienstes die Funktion für tägliche Backups abgeschaltet gehabt.

Der Sicherheitsexperte Cluley empfiehlt Anwendern grundsätzlich nicht blind auf Kurz-URLs zu klicken, weil man nicht wisse, wohin sie führen. Das Firefox-Addon LongURL Mobile Expander zeigt beispielsweise unterm Mauszeiger an, wohin eine Kurz-URL führt, bevor man darauf klickt. "Das ist zwar auch kein 100%iger Schutz, weil auch legitime Seiten infiziert werden könnten, aber es ist besser als nichts", empfiehlt Cluley.

0 Kommentare zu diesem Artikel
103560