heise online warnt vor Sicherheitslücke bei ClickandBuy

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35357
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

heise online warnt vor Sicherheitslücke bei ClickandBuy

Beitrag von doelf » 24 Jul 2012, 19:49

Wie heise online berichtet und mit einem Proof-of-Concept belegt, enthält die Internetseite des Zahlungsabwicklers ClickandBuy, ein Tochterunternehmen der Telekom, eine schwerwiegende Sicherheitslücke. Per Cross-Site-Scripting können Angreifer dort Zugangsdaten stehlen.

Mit Hilfe präparierter Links ist es möglich, ClickandBuy eigenen Code unterzuschieben. Wird ein solcher Link von einem nichtsahnenden Benutzer angeklickt, kann der Angreifer das Cookie des Benutzers abgreifen und an seinen eigenen Server übertragen. heise online hat den Tipp von einem Leser erhalten, der das Unternehmen bereits Anfang Juli über die Schwachstelle informiert hatte. Eine Reaktion erfolgte allerdings nicht. Danach versuchte sich heise Security mehrfach an der Kontaktaufnahme. Es verging mehr als eine Woche, bis eine Sprecherin der Firma den Fehler bestätigte.

Laut ClickandBuy führte ein "Fehler in der internen Zuordnung" zu der langen Reaktionszeit. Die Firma gibt weiterhin an, ihre Internetpräsenz täglich auf Schwachstellen zu prüfen. Aufgrund eines weiteren Fehlers wurde dabei ausgerechnet die angreifbare Seite ausgelassen. Hinweise darauf, dass die Sicherheitslücke ausgenutzt wurde, gibt es laut ClickandBuy nicht. Auch das klingt nach einem Fehler, denn zumindest der Leser und heise Security haben solche Angriffe durchgeführt.

Quelle:
http://www.heise.de/newsticker/meldung/ ... 50253.html

Antworten