ClickandBuy: Die Sicherheitslücke, von der niemand wissen wollte
Alexander Trust, den 26. Juli 2012Online einkaufen, ohne dabei Geld auszugeben? Das hätte man bis vor zwei Tagen noch bei ClickandBuy gekonnt. Dann nämlich wenn man sich mit moderatem Aufwand die Zugangsdaten von Kunden des Telekom-Bezahldienstleisters über eine Sicherheitslücke besorgt hätte.
Die Webseite von heiseSecurity berichtete über eine Sicherheitslücke, die einer der Leser gefunden hat. Über einen speziell präparierten Link, den man über simple Bot-Netze an tausende von Nutzern hätte schicken können, wäre man so in den Genuss von Logindaten der Nutzer gekommen. Unbemerkt hätte man so sicherlich erst einmal eine Menge geldwerten Schaden anrichten können.
Taube Ohren
Der Leser von heiseSecurity hatte Anfang Juli ClickandBuy angeschrieben, aber keine Antwort erhalten. Auch heiseSecurity hatte erst keinen Erfolg. Ganz gleich ob Support oder Pressestelle. Eine Antwort erhielt man erst mit über einer Woche Verzögerung.
Als dann schließlich am 24ten Juli ein Artikel über die Sicherheitslücke online ging, wurde binnen eines Tages selbige geschlossen. Keiner weiß, wie lange die Lücke tatsächlich vorhanden war. Denn sie kann weit vor dem Fund des heiseSecurity-Lesers schon bestanden haben.
Bedauern, das nichts kostet
Zunächst äußerte man „tiefstes Bedauern“, dass es so lange gedauert hätte, bis man geantwortet habe, dann bestätigte man das Problem jedoch. Es wurde eine Ausrede präsentiert, in der Form, dass man für seine Sicherheitspolitik unter anderem auf die Dienste von McAfee Secure zurückgreife. Die spezielle Webseite, über die es möglich war, die Zugangsdaten der Nutzer einfach abzugreifen, wurde aber nicht überprüft. Das kommt davon, wenn man Dienst nach Vorschrift tut. Aber wer will es McAfee verdenken. Denn grundsätzlich liegt die Verantwortung beim Unternehmen, das den Dienstleister hätte anweisen müssen, auch diese Seite zu überprüfen.
Unklar ist, warum diese Seite nicht mit in das Prüfintervall aufgenommen wurde. Denkbar wäre vielleicht – um einer Abmahnung aus dem Weg zu gehen -, dass nur eine begrenzte Zahl an Webseiten getestet wird, weil es sonst zu teuer wird, und sich „der Spaß“ vielleicht nicht mehr rentiert.
Erklärungen, die nicht weiterhelfen
Dann tritt die Telekom-Tochter aber in alter Tradition eines Staatsunternehmens (das die Telekom ja mal war) vor die Öffentlichkeit und gibt analog zur DB eine eher merkwürdige Erklärung bekannt. Dass der Fehler so lange nicht behoben wurde lag an einem „Fehler in der internen Zuordnung“, der jetzt beseitigt sei. Was bitteschön ist ein Fehler in der internen Zuordnung? Zuordnung wovon? Immerhin geht es dabei um das Geld von vielen Menschen, sicherlich nicht um das des Rockzipfels der Presseabteilung.
Man könnte diese Formulierung von einem „Fehler in der internen Zuordnung“, der nun beseitigt sei, sicherlich auch interpretieren als – „Da hat jemand Mist gebaut, und wir haben ihn fristlos gekündigt. Wird hoffentlich nicht wieder vorkommen.“ Was mich trotzdem ärgert ist, dass man die eigenen Kunden im Unklaren lässt. „Aber“ laut ClickandBuy gegenüber heiseSecurity gibt es keine Hinweise darauf, dass die Lücke tatsächlich ausgenutzt wurde, um Kunden um ihr Geld zu bringen. Und weil man „glaubt“, dass nichts passiert ist, muss man seine Kunden auch nicht darüber informieren, dass etwas passiert sein könnte, von dem man nicht sicher weiß, dass es nicht doch passiert ist. Ganz großes Kino.
Kontrolliert den Zahlungsverkehr!
Mein Tipp: Jeder sollte sich die Buchungen auf seinem ClickandBuy-Konto anschauen, die er seit seiner Anmeldung bis heute noch einsehen kann, und wenn er Unregelmäßigkeiten entdeckt, den Anbieter mit Verweis auf diese Cross-Site-Scripting-Sicherheitslücke, die er selbst bestätigte, um eine Erklärung bitten. „Unser“ Geld ist viel zu schade als dass man es sich durch inkompetente Dienstleister aus dem Fenster werfen lassen müsste.