Neue Lokalisten Sicherheitslücke

Ein Nutzer vom Sozialen Netzwerk "Lokalisten" fand eine neue Sicherheitslücke und stellte diese unter dem Decknamen "flood-1k4" öffentlich vor. Er schaffte es beim versenden einer privaten Nachricht einen Javascript einzuschleusen. Durch diesen war es ihm möglich auf die Benutzereinstellungen des Empfängers zu zugreifen und diese zu ändern. Lokalisten.de versicherte zwar, dass es einen Filter im Nachrichtensystem gibt, welcher beispielsweise das Versenden von eingebauten Javascripts untersagt, doch schaffte er es diesen auszutricksen.

Er verpackte den Javascript geschickt in der Nachricht und der Empfänger muss lediglich die Nachricht öffnen, um den verschachtelten Code zu aktivieren. Hätte "flood-1k4" die Sicherheitslücke nicht öffentlich gemacht, hätten andere Personen die Lücke früher oder später entdeckt und wahrscheinlich hätten diese eine Spamwelle losgetreten, wie es regelmäßig beim Konkurrenten Facebook vorkommt. Die Lokalisten-Betreiber bestätigten heute, dass die Lücke erfolgreich geschlossen wurde und bedankten sich bei "flood-1k4".