Datenleck im Shopsystem von Tuxedo Computers
Der Onlineshop wies eine Reihe von Problemen auf. Der Computerhersteller hat schon reagiert, andere Nutzer des Shopsystems H.H.G. Multistore müssen warten.
(Bild: Sashkin/Shutterstock.com)
Im Onlineshop von Tuxedo Computers, einem auf Linux spezialisierten Computerhersteller, gab es mehrere sicherheitsrelevante Probleme. Eines davon, eine Stored-XSS-Lücke, erlaubte Kundenaccounts auf die Adressdaten anderer Kunden und deren – unzureichend gehashte – Passwörter zuzugreifen. Tuxedo Computers hat die Probleme bereits behoben, allerdings betreffen sie teilweise das zugrundeliegende Shopsystem im Allgemeinen.
Entdeckt hat die Lücken ein externer Entwickler, der nach eigenen Angaben zunächst schon Ende vergangenen Jahres versuchte, den Hersteller des Shopsystems und danach Tuxedo Computers direkt zu kontaktieren. Als er keine Reaktionen erhielt, schritt er selbst zur Tat und informierte vergangenen Samstagabend einen Teil der betroffenen Kunden per E-Mail. Die dazu nötigen Mailadressen waren pikanterweise eben durch die erwähnte Stored-XSS-Lücke abrufbar. In seiner Mail betont der Entwickler, die abgerufenen Daten weder zu verkaufen noch zu veröffentlichen.
Dankbare Reaktion
Über die Rückfrage eines besorgten Kunden wurde dann auch Tuxedo Computers auf die Lücken aufmerksam und schloss sie am darauf folgenden Sonntag. Anfang der Woche informierte das Unternehmen außerdem sämtliche betroffenen Kunden und forderte sie zu Passwortänderungen auf. Nach eigenen Angaben erstattete Tuxedo Computers außerdem Meldung an die zuständigen Datenschutzbehörden.
Die Aufforderung das Passwort zu ändern sollten Kunden ernst nehmen, denn bislang wurde das schon lange nicht mehr als sicher geltende Hashverfahren MD5 eingesetzt. Noch schwerwiegender: Die Hashes wurden ohne Salt-Werte erstellt. Beides hat Tuxedo nach eigener Aussage geändert, neue Passwörter nutzen Salts und ein auf Blowfish basierendes Hashverfahren. Außerdem will Tuxedo Zwei-Faktor-Authentifizierung anbieten.
Gegenüber heise online bedankt sich das Unternehmen ausdrücklich bei dem Entwickler, mit dem es inzwischen in Kontakt steht und den es als "sehr freundlich und vertrauenswürdig" lobt. Der gibt das Lob zurück, seit der Kontaktaufnahme sei die Kommunikation "super" gewesen und er habe selten so schnelle Fixes erlebt. Indes, warum niemand bei Tuxedo auf die ursprüngliche Kontaktaufnahme reagierte, konnte das Unternehmen nicht mehr rekonstruieren. In Zukunft will das Unternehmen auf seiner Website eine explizite Kontaktmöglichkeit für solche Fälle anbieten.
Probleme im H.H.G. Multistore
Weniger schnell sind die Fixes voraussichtlich bei "H.H.G. Multistore", dem Shopsystem auf dem Tuxedos Website basiert. Allerdings nutzt der Computerhersteller eine deutlich abgewandelte Variante der Software. Der Anbieter von H.H.G. Multistore betont gegenüber heise online, dass die gravierende XSS-Lücke durch eine Änderung seitens Tuxedo entstanden sei und andere Nutzer nicht betreffe.
Andere vom Entwickler entdeckte Probleme finden sich allerdings auch in ursprünglichen Varianten der Software. Wir konnten verifizieren, dass dazu das beschriebene mangelhafte Hashverfahren gehört, aber auch ein Open Redirect und unzureichend validierte Eingaben im Administrations-Backend, die etwa für SQL-Injections genutzt werden können. Mit Open Redirects können Angreifer Links erstellen, die vermeintlich auf eine vertrauenswürdige Seite zeigen, tatsächlich aber auf ein beliebiges anderes Ziel weiterleiten.
Gegenüber heise online verspricht H.H.G. Multistore "Releasepflege in den nächsten Wochen", die die vom Entwickler vorgebrachten "Kritikpunkte" beheben wird. Die Software werde nämlich durchaus weiterentwickelt, auch wenn die Website ältere Versionen anzeige. Dort werden seit Jahren dieselben Version offeriert: 5.1.0 von "H.H.G. multistore EE" und 4.10.3 von "H.H.G. multistore CE". (syt)
