Lieferando.de schließt Sicherheitslücke

Der Pizza-Bestelldienst Lieferando.de hat auf seiner Webseite eine Lücke geschlossen, über die Angreifer potentiell Accounts übernehmen konnten. Nutzerdaten sollen aber zu keinem Zeitpunkt in Gefahr gewesen sein, versichert das Unternehmen.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Lieferando.de schließt Sicherheitslücke
Lesezeit: 1 Min.

Lieferando hat eine Schwachstelle auf seiner Webseite abgesichert. Ein Sprecher des Unternehmens bestätigte das gegenüber heise Security. Über die Lücke hätten Angreifer theoretisch Accounts übernehmen können. Der Sprecher betont, dass es zu keinem Zeitpunkt möglich war, Nutzer-Konten zu kapern. Auch Kundendaten sollen nicht gefährdet gewesen sein.

Die IT-Abteilung des Unternehmens sagt, dass es sich dabei nicht um eine richtige Cross-Site-Scripting-Lücke (XSS) gehandelt hat. Als die Lücke noch offen war, konnte heise Security jedoch in klassischer XSS-Manier einem Webbrowser Code unterschieben, den dieser dann ausgeführt hat. Anschließend wurde ein Session-Cookie angezeigt. Das funktioniert jetzt nicht mehr und wir können bestätigen, dass die XSS-Lücke geschlossen ist. (des)