COMPUTERBILD deckt auf: Datenleck bei "Deutschland sucht den Superstar" - Bewerberdatenbank im Internet einsehbar

Hamburg (ots) - Persönliche Informationen von rund 18.000
Bewerbern in der Datenbank / Einfacher Hackerangriff reichte aus /
COMPUTERBILD kontaktierte Betroffene / RTL interactive sieht nur
einen "theoretischen Zugriff"

Grobe Patzer und Skandälchen sind bei der Casting-Show
"Deutschland sucht den Superstar" (DSDS) an der Tagesordnung. Doch
bisher betrafen sie mehr die Gesangstalente der Bewerber sowie die
Urteile und Sprüche von Dieter Bohlen. Jetzt deckt COMPUTERBILD auf:
Eine Datenbank mit Bewerbern der aktuellen 6. Staffel lag offen im
Internet, für jeden Datendieb mit genügend Hackerwissen erreichbar.
Insgesamt über 18.000 Datensätze aller Bewerber, die sich per
Internet für ein Casting angemeldet hatten. Inhalt: Name, Anschrift,
Telefon- und/oder Handynummer, Geburtsdatum, Beruf, Schule,
Nationalität sowie Infos zu Hobbys, Freizeitgestaltung und besonderen
Talenten der Bewerber.

COMPUTERBILD wurde von einem Hacker auf die Sicherheitslücke
aufmerksam gemacht. Für den Angriff auf die Datenbank reichte
letztlich ein Aufruf der Internetseite RTLkino.de mit weiterführenden
Datenbankbefehlen in der Adresszeile. Damit konnten dann nacheinander
einzelne Datensätze der Bewerber abgerufen werden. In Fachkreisen
nennt sich dieser Angriff SQL-Injection. Er führt nur zum Erfolg,
wenn der Server unzureichend gesichert ist.

Der Redaktion liegen die Datensätze eines 27-jährigen Kochs aus
Thüringen und eines knapp 18-jährigen Schülers aus Niedersachsen vor.
Beide haben sich laut Zeitstempel gleich am 30. Juni vergangenen
Jahres per Internetformular in die Bewerberliste eingetragen. Einen
Tag vorher hatte die Bewerbungsfrist für Deutschlands bekannteste
Casting-Show begonnen. "Es ist traurig, dass die Daten so schlecht
geschützt sind", sagte einer der Betroffenen, als die Redaktion ihn
telefonisch mit seinen Daten konfrontierte.

COMPUTERBILD informierte umgehend den Sender RTL und die
Tochterfirma RTL interactive über die Sicherheitslücke. RTL
interactive ist für die Internetseite rtl.de verantwortlich. Thomas
Bodemer von der Pressestelle bestätigte nach interner Prüfung die
Sicherheitslücke. "Der Hacker hatte damit theoretischen Zugriff auf
die genannte Anzahl von Datensätzen", sagte er. Gleichzeitig wiegelte
Bodemer ab: "Die Daten waren zu keinem Zeitpunkt frei und öffentlich
im Netz verfügbar, denn all unsere Daten sind durch umfangreiche
Sicherungssysteme geschützt." Inzwischen sei die Angriffsmöglichkeit
ausgeschlossen. Laut Hacker gab es die Lücke auf rtl.de allerdings
schon vor einem Dreivierteljahr, nun habe er "einfach noch einmal
nachgeschaut" und sei wieder erfolgreich gewesen.

Den Screenshot eines Datensatzes gibt's unter www.computerbild.de

Originaltext: COMPUTER BILD-Gruppe / computerbild.de
Digitale Pressemappe: http://www.presseportal.de/pm/51005
Pressemappe via RSS : http://www.presseportal.de/rss/pm_51005.rss2

Pressekontakt:
Ansprechpartner in der Redaktion:
Daniel Rasch, Tel. 040-34068821

COMPUTERBILD-Presseinformationen: www.presseportal.de/pm/51005

Presseagentur:
Alexander Praun - Communication Consultants GmbH
Tel. 0711-97893.19 - Fax 0711-97893.44 - E-Mail: praun@postamt.cc

Meldungen sind mit Quellenangabe "COMPUTERBILD" zur Veröffentlichung
frei.