Unister: Session-Hijacking immer noch möglich
Alexander Trust, den 7. Dezember 2006
Das gestern entdeckte Session-Hijacking auf der Studenten-Plattform Unister ist noch immer nicht geschlossen.
Mit dem Slogan „a Place for Students“ wirbt Unister für sich selbst, scheint aber die Sicherheit der eigenen Klientel nicht ernst zu nehmen. Denn noch heute ist das Session-Hijacking möglich.
Nachdem mein eigene Profil kompromittiert wurde, kann ich beim Login noch heute Hinweise darauf entdecken, dass Fremde Zugriff darauf hatten. Laut Unister soll der letzte Login am 7. Dezember um 11:15 Uhr stattgefunden haben, obwohl ich mich erst um kurz vor 16 Uhr bei Unister eingeloggt habe.
Außerdem soll ich die Profile einer Katja G., Belinda B. und Claudia H. besucht haben. Allerdings kenne ich diese Personen nicht, und habe sie nicht gestalked.
Unister wurde über die Sicherheitslücke in Kenntnis gesetzt und es ist immer noch nichts passiert.