Der Internet-Auftritt des Pizza-Bestelldienstes Lieferando weist eine Lücke auf, über die Angreifer Accounts übernehmen können.
Anzeige
Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen.
Entdeckt hat die Lücke der Sicherheitsforscher Robert Kugler. Er wandte sich an heise Security, nachdem er das Unternehmen vor über einem Monat kontaktiert hatte und bislang keine zufriedenstellende Rückmeldung erhalten hat.
Accounts kapern, Exploit-Kit verankern
Über eine XSS-Lücke auf der Webseite von Lieferando können Angreifer Cookies auslesen und so Accounts kapern.
(Bild: Screenshot)
Über die Lücke wären Angreifer potentiell auch in der Lage, etwa den Log-in-Button der Seite zu manipulieren, um Nutzer umzuleiten. Kugler zufolge ist es auch vorstellbar, dass Kriminelle ein Exploit-Kit auf der Webseite von Lieferando verankern.
Der Sicherheitsforscher gibt an, dass er Lieferando Mitte vergangenen Monats über die Lücke informiert hat. Dabei habe der Support versucht, die IT-Abteilung zu erreichen. Bis dato wurde die Schwachstelle aber noch nicht abgesichert, wie ein Test von heise Security zeigt. Wir haben Lieferando um eine Stellungnahme gebeten.
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
