Die Jochen Schweizer GmbH ist ein großes deutsches Erlebnisgeschenkportal und bietet weit über 1000 Erlebnisse. Das Unternehmen ist im digitalen Zeitalter natürlich auch im Internet vertreten, besitzt eine Webpräsenz mit vielen Informationen zu den Erlebnissen und einen eigenen Onlineshop. Ein aufmerksamer Leser der Internetwache.org hat uns am 03.02.2012 auf Sicherheitslücken der Webpräsenz hingewiesen.
Die von unserem Leser geschilderte Lücke konnten wir schnell verifizieren und entdeckten auf der von ihm genannten Unterseite einige weitere Auffälligkeiten. Die zusätzlichen Parameter der Unterseite waren nicht korrekt gegen Cross Site-Scripting geschützt.
Da sich das Webangebot einer recht großen Bekanntheit erfreut und viele abenteuerfreudige Menschen es benutzen, schrieben wir am gleichen Tag eine Email an das Unternehmen. Wir erhielten am Folgetag eine Email des Supports, in der man uns mitteilte, dass der Hinweis an die entsprechende Abteilung weitergeleitet wurde. Nachdem wir zwei Wochen später immer noch keinen Fix für das Problem erkennen konnten, fragten wir erneut per Email nach.
Am 06.03. erhielten wir die lange erwartete Rückmeldung, dass alles nun behoben sei. Man bedankte sich für den Hinweis sehr freundlich.
Auch wenn der Fix dieser Cross Site-Scripting Lücken ungefähr einen Monat dauerte, so freuen wir uns sehr über das Dankeschön des Unternehmens.
Das Team der Internetwache.org
Screenshots
