Simple XSS-Lücke mutiert zum PR-GAU

Sonntag, 28. Juni 2009, 15:24 Uhr |  Autor:

Es war einmal ein Blogger, der fand auf einer Firmen-Website eine XSS-Lücke. Er schrieb sogleich eine kleine Satire zu einem Produkt der Firma. So frech wie er war, versah er seine Satire noch mit einem Screenshot von der Firmen-Website und einem Link zu der Seite. Nur drei Tage später flatterte eine Abmahnung des Firmenanwalts in seinen virtuellen Postkasten. Der Anwalt forderte den Blogger auf, binnen drei Tagen den Screenshot und den Link aus seinem Blog zu entfernen. Der Blogger wenig eingeschüchtert beließ den Screenshot und den Link in seinem Blog und schrieb nun einen weiteren Blogeintrag. In dem neuen Eintrag schilderte er kurz was geschehen war und zitierte den kompletten Brief des Anwalts. Nur Stunden später solidarisieren sich die ersten Blogger (unabhängig von der Rechtslage) mit dem Abgemahnten. Die Firma wird, wegen der Anwaltskeule, auch von den anderen Bloggern gescholten und ob der noch immer offenen XSS-Lücke ausgelacht.


Ob die Veröffentlichung eines Screenshots das Urheberrecht der Firma an den einzelnen Bildern verletzt weiß ich nicht. Mein Rechtsempfinden sagt nein, da es sich hier um ein Zitat handelt und nicht einzelne Teile in einem neuen Kontext eingebunden wurden. Das Bild selber ist nicht manipuliert worden, es wurden keine Veränderungen, zum Beispiel mit Hilfe eines Bildbearbeitungsprogramms, vorgenommen. Der Screenshot ist authentisch, sofern man dem manipulierten Link folgt.

Und ob nun der manipulierte Link, gegen ein Gesetz verstößt, vermag ich nicht zu beurteilen, da der Link keine Straftat vorbereitet. Der Link, bzw. die dann folgende Firmen-Website, könnte als rufschädigend eingestuft werden, wenn man nicht sofort erkennen würde, das es sich hier um Satire handelt.

Ich bin kein Jurist und Gesetze haben i.d.R. auch nicht so arg viel mit gesundem Menschenverstand zutun, deswegen will ich die juristische Beurteilung anderen überlassen.


Die Firma hat das Dümmste getan was sie tun konnte – die Lücke offen lassen und den Blogger abmahnen. Zum Glück für die Firma ist gerade Wochenende und in einzelnen Bundesländern haben bereits die Sommerferien begonnen, wodurch die Wogen in der Bloggoshäre und in Twitter noch nicht so hoch sind.

Die negative Aufmerksamkeit im Internet hätte die Firma ganz leicht vermeiden können – indem Sie einfach die Lücke geschlossen hätte – aus die Maus – Thema erledigt. Dann hätte sich kaum jemand für den Blogeintrag mit dem Screenshot und einem nicht mehr, wie gewünscht, funktionierenden Link interessiert.

Wenn man den Brief von dem Anwalt liest, so könnte man fast den Eindruck gewinnen, das die Firma nicht verstanden hat, dass sie selber die Lücke schließen muß und dass es herzlich wenig hilft, wenn der Blogger den Link und den Screenshot aus seinem Blog entfernt. Durch die negative PR fühlen sich jetzt natürlich alle Möchtegern-Hacker aufgerufen, weitere Lücken, auch in den anderen Websites der Firma zu finden und zu veröffentlich.

Bisher ist es noch kein GAU, aber wenn die Firma nicht schleunigst gegensteuert (die Lücke schließt, den Anwalt zurückpfeift und mit dem Blogger ohne Anwalt kommuniziert) so kann es doch noch dazu kommen.

Das Netz vergisst nichts!

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Bloggosphäre, Sicherheit, XSS

Kommentare und Pings sind geschlossen.

2 Kommentare

  1. ist lustig, das mit anderen texten auszuprobieren – kann man andere schön auf den leim führen…

    wenn das nicht mal wieder einen streisand gibt ;-)

  2. Die kennen wahrscheinlich weder XSS noch den Streusand, auf dem man ausrutschen kann. :O)