Die Cross-Site Scripting Lücke konnte man wegen einer Unachtsamkeit der Webseiteprogrammierer ausnutzen. Den Exploit konnte man zur Ausführung bringen, wenn man diesen an den “language” Parameter in der URL angehängt hat. Die anfällige Seite befand sich unter der Domain freeriatools.adobe.com, unter welcher man kostenlose Software herunterladen konnte.
Nachdem wir die ersten positiven Erfahrungen mit dem Erstkontakt per Social Media (Twitter) gemacht hatten, sendeten wir einen Tweet @Adobe_Care (dem Support Twitteraccount von Adobe), um nach den richtigen Ansprechpartnern zu fragen. Wir erhielten eine Antwort eines Mitarbeiters, welcher die Email an das Webteam weiterleiten wollte. Als wir eine Woche später nachfragten, wie denn der Status sei, erfuhren wir, dass unsere Email bei dem Mitarbeiter im Spamordner gelandet sei.
@internetwache Hi and thanks for reaching out. Yes, please DM us your concerns. Thanks,^Bing
— Adobe Customer Care (@Adobe_Care) 9. August 2012
Daraufhin verwies man uns auf das Kontaktformular der Webpräsenz. Mit diesem schickten wir am gleichen Tag eine entsprechende Nachricht ab, und erhielten wieder eine Woche später eine Antwort, dass man sich darum kümmern werde.
Dies war die letzte Nachricht des Security Teams, was diese Sicherheitslücke betraf. Nach zwei Monaten wollten wir den Status der Lücke überprüfen und stellten fest, dass man die Seite (Subdomain) wohl eingestellt hatte, denn diese ließ sich nicht mehr aufrufen. Daraufhin fragten wir dort noch einmal an, ob man die Sicherheitslücke als geschlossen ansehe, und ob man uns nicht in die Hall of Fame eintragen könnte. Darauf reagierte das Security Team leider nicht mehr.
Ein solches Vorgehen ist uns schon von anderen größeren Unternehmen bekannt: Die Unternehmen nehmen einfach komplette Unterseiten offline, da sie keine Zeit bzw. kein Geld für den Fix haben. Für uns ist es nach wie vor unverständlich, weshalb sich das Unternehmen bzw. dessen Sicherheitsteam sich nicht zurückmeldete, um sich wenigtens zu bedanken. Wir sind trotzdem froh, dass die Lücke nicht mehr ausnutzbar ist und schließen damit den Fall ab, wenn auch ohne einen Eintrag in der Hall of Fame von adobe.com
Update vom 25.05.2013:
Einen Monat nach unserem letzten Kontaktversuch erreichte uns eine Email, dass die Sicherheitslücke zu sei. Man erkundigte sich, ob wir in die Hall of Fame kommen möchten. Darauf antworteten wir sogleich mit einem “JA!”, und hörten daraufhin nichts mehr von Adobe.
Heute war dann unser Eintrag in der Hall of Fame zu finden. Von sehr offener bzw. reibungsloser Kommunikation kann aber keinesfalls die Rede sein.
Das Team der Internetwache.org
Screenshot