Ein Hacker hatte in der letzten Woche im Team Elite-Forum von dem Fehler berichtet, der Attacken per Cross Site Scripting (XSS) ermöglichte. Kriminelle hätten so beispielsweise Schadcodes über eine scheinbar sichere Webseite auf die Rechner von Besuchern einschleusen können.

Die Betreiber des Forum informierten daraufhin das MI5 über das Posting. Der Entdecker der Schwachstelle wartete mit der Veröffentlichung von Beispielcodes für einen Angriff ab, bis das Problem aus der Welt geschafft war. Nach Angaben des Geheimdienstes habe man den Fehler inzwischen behoben.

Das Problem lag in der Implementierung einer Suchfunktion in die Seite. In das Angebot ist Google als Suchmaschine integriert. Das Eingabefeld war dabei nicht gut genug abgesichert und erlaubte es, den dahinter liegenden Code zu manipulieren.

Wie der MI5 mitteilte, habe zu keinem Zeitpunkt die Gefahr bestanden, dass sensible Daten durch das Problem zugänglich würden. Die entsprechenden Systeme im Backend seien nicht direkt mit dem öffentlichen Auftritt verbunden.