Eine Sicherheitslücke auf "Krone.at" erlaubte es Fremden offenbar, jederzeit Passwörter von Nutzern zu manipulieren und sich dann in deren Konten einzuloggen. Das berichtet der "Falter", den anonyme Hinweisgeber auf die Lücke aufmerksam gemacht hatten. In einem Selbsttest konnte die Stadtzeitung den Fehler reproduzieren. Wer für ein Nutzerkonto die Rücksetzung des Passworts anforderte, erhielt in der Entwicklerkonsole zu viele Informationen als Antwort.

Neues Passwort erstellen

So ließ sich auch ohne Zugriff auf das Postfach der E-Mail-Adresse das neue Passwort eingeben. Damit konnte ein Eindringling den eigentlichen Nutzer aus seinem Konto aussperren und Informationen wie bisher getätigte Kommentare oder in einigen Fällen auch Geburtsdatum und Adresse auslesen.

Laut Krone.at sind keine Fälle von Datendiebstahl bekannt. Die Lücke wurde rasch geschlossen, sie soll rund drei Monate bestanden haben. Entwickler, die vom Falter befragt wurden, geben an, dass es sich um einen "peinlichen Programmierfehler" gehandelt habe. (red, 22.8.2018)