Der Entwickler und IT-Fachmann Christian Haschek musste sich kürzlich eine neue Windschutzscheibe kaufen, nachdem seine einen Riss aufwies. Dafür suchte er günstige Alternativen zur regulären Werkstatt und fand einen kleinen Wiener Shop, der solche anbot, wie er auf seinem Blog erzählt.

Nicht mehr registrierte Domain

Wie sich aber herausstellte, wies die Seite zahlreiche schwere Sicherheitslücken auf. Zunächst bemerkte er, dass einige Bilder nicht luden: Sein Adblocker blockierte ein Tracking-Skript einer fremden Webseite. Als er diesen deaktivierte, folgte ein Error 404 – wie sich herausstellte war die Seite, auf die zugegriffen wird, nicht länger registriert.

Haschek kaufte daher die Domain auf und bemerkte bald, dass eine Reihe an Webseiten jeglichen von ihm vorgegeben Programmcode laden würden. So auch der Shop – den könne er etwa so anpassen, dass das Bild einer Katze die Seite dominiert und ein Pop-up die Betreiber dazu auffordert, sie zu reparieren.

Foto: screenshot/haschek

Keine Reaktion

Haschek musste zum Bezahlen auf eine Paypal-Seite wechseln, auf die der Shop verlinkt. Würde es sich um einen kriminellen Hacker handeln, hätte er theoretisch den Link einfach beliebig verändern und so Geld stehlen können.

Nach dem Bezahlen fuhr er zu dem Geschäft und erklärte, er müsse dringend mit dem Zuständigen für die Webseite sprechen. Diese fragten nur, ob er sie gehackt habe und weigerten sich, ihm die Telefonnummer zu geben. Haschek hatte eigentlich geplant gehabt, zu erklären, warum IT-Sicherheit wichtig ist – wurde stattdessen aber weggeschickt. Zwei Wochen später hat sich niemand bei ihm gemeldet. "Nein, dieses Land hat überhaupt keinen Druck, wenn es um IT-Sicherheit geht. Das habe ich schon mehrfach gelernt", schreibt er. (red, 3.8.2019)