Schwerwiegende Sicherheitslücke bei Amazon

Der Onlinehändler Amazon hat eine schwerwiegende Sicherheitslücke auf seiner Webseite geschlossen, durch die man unter anderem auf fremde Benutzerprofile zugreifen konnte. Nachdem heise Security das Unternehmen auf das Problem aufmerksam gemacht hatte. reagierte Amazon umgehend und beseitigte die Lücke. Betroffen waren neben Amazon.de anscheinend auch die anderen Amazon-Niederlassungen weltweit.

Durch Lücke konnte man eigenen JavaScript-Code auf dem Server des Onlinehändlers einschleusen, der dann im Browser anderer Kunden beim Aufruf der präparierten Seite ausgeführt wurde. Durch dieses sogenannte Cross-Site-Scripting (Persistent XSS) konnte man etwa Sitzungs-Cookies abgreifen, mit denen wir bei unserem Experimenten auf Klarnamen, Mailadressen und Einkaufskörbe zugreifen konnten. Ferner hätte man über die Lücke auch Zugangsdaten abgreifen (Phishing) oder Malware verbreiten können.

Das Ausnutzen der Lücke war trivial: Man musste im Kundenforum lediglich einen Beitrag mit einem speziell formatierten Titel anlegen, etwa nach dem Muster "><script>alert('XSS')<script>. Da Amazon den angegeben Beitragstitel nicht ausreichend überprüft hat, wurde der darin enthaltene JavaScript-Code in bestimmte Unterseiten des Forums eingebettet und dann bei deren Aufruf vom Browser ausgeführt.

Die Seiten mit dem eingeschleusten Code konnte man direkt verlinken, um diese Links etwa per Mail zu verbreiten. Sie waren aber auch direkt über das Forum erreichbar. Freilich hätte Amazon die präparierten Forenbeiträge mit den auffälligen Titel kurzerhand löschen können. Geschehen ist das jedoch nicht: Ein öffentlich einsehbarer Testbeitrag blieb mehrere Wochen unentdeckt.

Michael E. hatte die Lücke entdeckt und heise Security darüber informiert. Wir haben Amazon die Details zu der Lücke am gestrigen Donnerstag nachmittags übermittelt. Bereits am nächsten Morgen hat uns ein Sprecher des Konzerns telefonisch darüber informiert, dass die Lücke geschlossen wurde. (rei)