UPDATE: um 13:45 Uhr berichtete Heise:

Lieferando.de schließt Sicherheitslücke

Der Pizza-Bestelldienst Lieferando.de hat auf seiner Webseite eine Lücke geschlossen, über die Angreifer potentiell Accounts übernehmen konnten. Nutzerdaten sollen aber zu keinem Zeitpunkt in Gefahr gewesen sein, versichert das Unternehmen.

-Produktempfehlung: Kaspersky lab-

Alle Informationen auf HEISE

Aufgrund eines unsicheren Suchfeldes und einer bis dato fehlenden Nachbesserung gelänge es Betrügern, Lieferando-Accounts zu übernehmen

Der Sicherheitsforscher Robert Kugler wurde auf eine Sicherheitslücke im Suchfeld der Webseite des Lieferdienstes aufmerksam und hat vor ungefähr einem Monat das Unternehmen kontaktiert.  Um registrierte Kunden zu warnen, und weil er keine zufriedenstellende Antwort des Konzerns bekam, wandte sich Kugler mit diesem Anliegen an heise Security.

Überprüfung nicht ausreichend

Nach Kuglers Angaben werden die Eingaben im Suchfeld von Lieferando nicht ausreichend überprüft, so dass Betrüger einem Webbrowser Code via Cross-Site-Scripting (XSS)einschmuggeln können, welcher dann ausgeführt wird.

Das gefährliche daran: die Angreifer können Cookies der damit auslesen und an die darin geschriebenen Nutzerdaten gelangen und somit die Kontrolle über Nutzer-Accounts. Zudem bestünde auch die Möglichkeit Nutzer mit dem Login-Button auf eine andere Seite umzuleiten oder gar ein Exploit Kit auf der Seite zu installieren.

Problem wurde noch nicht behoben


SPONSORED AD


In dem Gespräch mit heise Security merkte Kugler an, dass er bereits Mitte vergangenen Monats (März 2016) das Unternehmen darüber informiert habe. Der Support habe aber nur versucht die IT-Abteilung zu erreichen und bis dato hat sich keiner gemeldet.
In einem selbst gestarteten Test zeigt heise Security zeigt, dass das Problem noch nicht behoben wurde.

Quelle: heise Security

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal, via Patreon, via Steady