Dinslaken - Die deutsche Webeffekt AG hat eine Sicherheitslücke im beliebten Logfile-Analyse-Programm "eTracker" aufgedeckt. Der unfreiwillige Helfer ist ausgerechnet Google. Denn die Suchmaschine hat in seine Datenbestände nicht nur die eTracker URLs aufgenommen, sondern die Zugangsdaten direkt mitindiziert. Durch Klick auf eine entsprechende Verlinkung werden die Logins an eTracker übergeben. Anschließend befindet man sich direkt in einem Kundenkonto und kann in diesem, wie der eigentlich autorisierte eTracker-Kunde, sämtliche gesammelten Informationen der jeweiligen Homepage abrufen.

"Im Rahmen unseres Suchmaschinen-Marketings untersucht unsere Forschungs- und Entwicklungsabteilung die Strategien und Merkmale gut gerankter Homepages," erklärt Robert Biermann, Vorstand der Webeffekt AG, die Hintergründe zur Entdeckung der Sicherheitslücke. "Wir stießen bei Google mit dem Abfragebefehl 'site:www.etracker.de' auf die überraschende Tatsache, dass die Suchmaschine rund 100.000 URLs dieser Domain indiziert hatte. Auf dem öffentlichen Internet-Auftritt konnten wir ein derart umfängliches Informationsangebot beim besten Willen nicht entdecken. Beim Durchklicken der URLs in der Ergebnisliste stellen wir dann seit Dezember 2005 fest, dass die bei Google aufgenommenen Web-Dokumente auch auf eTracker-Kundenkonten beruhen." Diese seien via Google komplett einsehbar, so Biermann

eTracker ist mit diesem Problem übrigens nicht allein. So kann man mit der Suchwortkombination "website analog statistik anfrage-bericht" über verschiedene Suchmaschinen die Links auf die Homepage-Statistiken von Unternehmen und Organisationen - z.B. Universitäten - erhalten, die das kostenfreie und häufig auch vorinstallierte WebStatistik-Programm "Analog" einsetzen. Vor den Zugriffen Unbefugter besser geschützt sind Homepagestatistik-Systeme, die die Zugangsdaten in einer Weise vorhalten, die für Suchmaschinen-Robots nicht erschließbar ist.