GoogleWatchBlog

Sicherheitslücke: YouTube + Google zeigen FTP-Passwörter

» Web-Version «

Zu jedem einzelnen Video kann man sich bei YouTube anzeigen lassen von welchen Webseiten es am meisten aufgerufen worden ist. Google scannt fleißig alle Webseiten, natürlich auch die von YouTube. Kombiniert man diese beiden Dinge jetzt miteinander kann man mit der richtigen Suchanfrage jede Menge FTP-Passwörter herausfinden – eine offene Sicherheitslücke.

Manchmal werden Videos natürlich nicht nur von HTTP- sondern auch von FTP-Seiten aus aufgerufen. Diese enthalten meist aber nicht nur die eigentliche Adresse der Webseite sondern auch dessen Passwörter in der Form von: ftp://name:passwort@Adresse. Es ist zwar relativ selten dass YouTube-Videos von solchen Seiten aus aufgerufen werden, aber Google findet mit der Anfrage:

site:youtube.com „clicks from ftp @ „

dennoch zur Zeit 257 Ergebnisse, wobei mindestens 100 FTP-Server dabei sind deren Passwörter jetzt im Klartext erscheinen. Ich halte dass, genauso wie School-of-Hack, für eine große Sicherheitslücke von YouTube. YouTube sollte solche Adressen einfach ausfiltern und nicht mehr in der Liste anzeigen – schon wäre das Problem gelöst. Aber dafür muss diese Lücke erst einmal bekannt werden, damit YouTube reagiert…

» Artikel von School-of-Hack

[thx to: Gregor Best]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren