Zurück

20min.ch schliesst Sicherheitslücke

14.01.2014 19:57 von Samuel

Am 11.12.2013 fand ich auf der Seite von 20minuten (20min.ch) eine XSS-Lücke. Mit dieser Lücke war es möglich, die Identität eines anderen eingeloggten Benutzers zu übernehmen. Vorausgesetzt ist, dass der Benutzer einen präparierten Link aufruft. Diesen kann man z.B. via Private Nachricht oder per E-Mail zusenden.

Nach dem öffnen des Links kann der Angreifer die Cookies stehlen. Da der Angreifer nun die gleiche Session wie der eingeloggte Benutzer besitzt, kann dieser auf alle Daten zugreifen. Er ist eingeloggt.

Diese Methode nennt man "Session Hijacking".

Meldung der Lücke

Ein Tag darauf, am 12.12.2013 schrieb ich dann der Leitung des "Digital Bereichs" von 20min, Jean-Claude Gerber. Enttäuscht stellte ich fest, dass meine Nachricht sehr wahrscheinlich ignoriert wurde. Am 06.01.2014 schrieb ich nochmal eine E-Mail mit dem Hinweis auf die Sicherheitslücke die immer noch besteht. Am 13.01.2014 bekam ich dann eine Antwort.

Fazit

Die Reaktion war sehr positiv und der Entwickler hat sich mehrmals bedankt für das Melden der Lücke. Ich bin froh dass die Lücke nun behoben wurde und nicht weiter ausgenutzt werden kann. Schade jedoch ist, dass es einen Monat gedauert hat von der Meldung bis hin zur Behebung der Lücke.

Zurück

Einen Kommentar schreiben