Tedi ist ein großer Discounter in Deutschland, landesweit gibt es circa 1300 Tedifilialen. Wie jedes größere Unternehmen verfügt Tedi über eine Webpräsenz, über welche sie ihren Kunden über aktuelle Angelegenheiten, u.a. die Angebote und Öffnungszeiten informiert.
Die TEDi GmbH & Co. KG nutzt Typo3 als Content Management System, welches man als relativ sicher einschätzen kann, da viele unabhängige Entwickler den Quelltext sichten und Sicherheitslücken so behoben werden können. Dieses Kriterium trifft jedoch leider nicht immer auf Drittanbieter-Plugins zu, weshalb es für uns möglich war eine Sicherheitslücke auf der Webseite von Tedi zu verorten.
Der Tedi Discount nutzte für die Newsletteranmeldung eine Extension, welche Cross-Site Scripting Lücken enthielt. Einem Angreifer ermöglicht diese Lücke die Manipulation der Webseite, falls ein Besucher einen manipulierten Link des Angreifers aufruft. Von einer Weiterleitung, bis zu einer Veränderung der Öffnungszeiten wäre alles möglich gewesen.
Wir wiesen das Unternehmen am 23.03.2013 auf dieses Sicherheitsproblem hin, und erhielten einige Tage später eine Rückmeldung, dass man die Lücken beheben wird. Nach zwei weiteren Tagen erhielten wir eine zweite Nachricht, in der man uns die zeitliche Planung, sowie die Überprüfung aller Eingabefelder auf Cross-Site Scripting, mitteilte.
Nachdem zweieinhalb Wochen verstrichen waren, erreichte uns eine Email mit erfreulichem Inhalt: Man habe die Sicherheitslücken behoben und sei bereit sich dafür erkenntlich zu zeigen. Wir möchten uns dafür bedanken und schließen diesen Fall damit ab.
Das Team der Internetwache.org
Screenshots
