In letzter Zeit überprüften wir vermehr große Marktketten aus Deutschland, denn diese werden auch häufig besucht und stellen ein recht attraktives Ziel für Hacker dar. Dieses mal überprüften wir die Webseite von lidl.de, auf den Hauptseiten fanden wir keinerlei Auffälligkeiten, jedoch gab es in einem älteren Verzeichnis ein anfälliges Script.
Sämtliche anfällige Scripte befanden sich unter der Subdomain: newsletter.lidl.de. Durch die ungefilterte Ausgabe konnte man jegliche Javascript Befehle einbinden und ausführen lassen.
Nach dem Fund dieser von uns als kritisch eingestuften Lücke kontaktierten wir sofort den entsprechenden Support, um eine rasche Behebung der Lücken zu erwirken. Am 18.06.2012 sendeten wir schließlich eine ausführlich Darstellung der Lücke an den entsprechenden Kundensupport. Zunächst einmal erhielten dann eine automatisch erstellte Antwort, welche uns darüber in Kenntnis setzte, dass unsere Mail angekommen ist und bald bearbeitet wird. Am 27.06.2012, also 9 Tage später wurde uns mitgeteilt, dass die entsprechende Abteilung informiert wurde. Aus dieser Abteilung meldete sich schließlich am 12.07.2012 ein Mitarbeiter und verkündete, dass man die Lücke verifizieren konnte und geschlossen hat. Die Schließung der Lücke bestand darin, sämtliche Scripte von der Subdomain newsletter.lidl.de offline zu nehmen und die Verwendung der Scripte einzustellen, da diese durch neuere ersetzt wurden.
Der gesamte Support war sehr freundlich und kooperativ, jedoch sind unserer Meinung nach, circa 24 Tage zu lange für einen Fix in diesem Ausmaß. Natürlich ist es verständlich, dass bei einer großen Firma viele interne Wege notwendig sind, um die Information an die passende Stelle zu bringen, jedoch kann man diesen Vorgang häufig beschleunigen, indem man direkt eine technische Kontaktemail im Impressum oder ähnlichen Bereichen hinterlegt. Wir bedanken uns bei allen Mitarbeitern von lidl.de, welche zu einer Behebung der Sicherheitsrisiken beigetragen haben.
Screenshots
Das Internetwache Team