Mehrere große deutsche und internationale Unternehmen reagieren nicht auf entdeckte Sicherheitslücken in ihren Webseiten. Betroffen sind unter anderem die Online-Auktionsplattform eBay und der Versandhändler Amazon. Obwohl die beiden Konzerne bereits vor Längerem auf teilweise kritische Bugs aufmerksam gemacht wurden, bleibt eine Reaktion der Verantwortlichen aus.
Der Blog Secure-Sites berichtet über Sicherheitslücken auf den Webseiten von eBay, Amazon, des Filehosters Imgur, sowie des deutschen Reiseanbieters Trivago. Wie der Entdecker der Fehler, Maurice Woitzyk berichtet, habe er die Unternehmen bereits vor einiger Zeit über die Mängel informiert. Allerdings erfolgte in keinem der Fälle eine Reaktion seitens der Firmen.
So ist es beispielsweise auf dem Auktionsportal eBay möglich, mittels einer sogenannten XSS-Injection eigenen Code in die Seite einzuspeisen. Konkret betroffen ist die "Für später speichern"-Funktion, die das Entwerfen von neuen Verkaufsangeboten ermöglicht. Gibt man statt eines Artikelnamens Programmbefehle ein, interpretiert der Browser die Eingabe auf der nächsten Seite als legitime Ausgabe von eBay. Mehrere Male will Woitzyk den Fehler über das Bug Bounty Programm des Unternehmens gemeldet haben. Bis auf eine Eingangsbestätigung sei jedoch auch nach mehreren Wochen keine Reaktion erfolgt.
Bei Amazon, Imgur und Trivago musste Secure-Sites die gleichen Erfahrungen machen. Keiner der Dienstleister zeigte offensichtlich Interesse, gemeldete Cross-Site-Scripting Lücken zu beheben. Letztlich ist eine XSS-Injection nicht die Kritischste aller Angriffsmöglichkeiten im Web. Dennoch bietet die Einschleusung von Inhalten in einigen Fällen die Möglichkeit, an sensible Daten eines Benutzers zu gelangen, da dieser die angezeigten Inhalte für vertrauenswürdig hält. Insbesondere, dass eBay nach dem Diebstahl von 145 Millionen Kundendatensätzen weiterhin nachlässig mit gemeldeten Bugs umzugehen scheint, wirkt fragwürdig.
Quelle: Gulli