Zeit.de behebt Sicherheitlücken

Auf der Internetpräsenz der überregionalen Wochenzeitung “Die Zeit” fand die Internetwache einige Sicherheitslücken.

Bei den Sicherheitslücken handelte es sich um sogenannte Cross Site-Scripting Lücken (XSS), über welche Angreifer das Verhalten bzw. das Aussehen der Webseite manipulieren können. Dabei fanden wir das eine Sicherheitsleck auf der Subdomain “Marktplatz.zeit.de” und “spiele.zeit.de”. Hier noch anzumerken ist, dass die erstgenannte Schwachstelle in einem Eingabefeld zu finden war (POST-XSS), sodass Angreifer ein Minimum an Arbeit mehr haben, jedoch die Gefährlichkeit der Sicherheitslücke dadurch nicht vermindert wird.

Zudem fanden wir noch eine Full-Path-Disclosure. Dies stellt den kompletten Pfad zum ausgeführten Script dar. Man könnte meinen dies sei harmlos, doch kann ein Angreifer daraus auf Serverstruktur Rückschlüsse ziehen und oft werden solche Schwachstellen in Kombination mit anderen Lücken genutzt um in das System einzudringen.

WIr versuchten am 10.06.2012 per Email Kontakt aufzunehmen, doch erfolgte darauf keine Reaktion und wir erhielten keine Rückmeldung. Fünf Tage nach dem ersten Kontaktversuch probierten wir es telefonisch, und wurden von einer besetzten Leitung abgewiesen. Nach einem Monat kontaktierten wir das Unternehmen erneut, dieses Mal jedoch per Twitter. Daraufhin lies man uns ohne weitere Kommentare eine Email zukommen, an welche wir uns wenden sollten. Wir beschrieben der neuen Kontaktperson die Probleme erneut. Einige Zeit später - ungefähr drei Tage - wurden die Probleme ohne weitere Rückmeldung oder Bestätigung behoben.

Manche Unternehmen oder Organisationen wissen unsere ehrenamtliche Arbeit leider nicht zu schätzen und bringen noch nicht einmal ein herzliches Dankeschön über die Lippen. Trotzdem verlieren wir den Spaß an der Sache nicht und setzen uns weiterhin für ein sichereres Internet ein, indem wir entsprechende Schwachstellen melden.

Wir freuen uns darüber, dass man wenigtens die Sicherheitslücken behoben hat und schließen damit diesen Fall ab.

Screenshots

Ein Screenshot der Full Path Disclosure (marktplatz.zeit.de)

Ein Screenshot der ersten XSS Lücke (marktplatz.zeit.de)

Ein Screenshot der zweiten XSS Lücke (spiele.zeit.de)

Das Team der Internetwache.org