c't deckt auf: Sicherheitslücken im Dedoles-Shop

Es gibt Shops, die auf Sicherheitslücken reagieren. Doch Dedoles wurde vor Monaten über XSS-Anfälligkeiten informiert, hat sich bisher jedoch nicht gerührt.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Sicherheitslücke

(Bild: dpa, Karl-Josef Hildenbrand)

Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

In der Vorweihnachtszeit hatten Onlineshops Hochkonjunktur und auch der Corona-Lockdown kurz vor Weihnachten dürfte den virtuellen Geschäften weiteren Zulauf beschert haben. Doch auch wer sich den Innenstädten ferngehalten und auf der heimischen Couch geshoppt hat, war unter Umständen einem Risiko ausgesetzt: Der Bekleidungsshop Dedoles hat Sicherheitslücken auf seiner Website über Monate nicht gestopft.

Dedoles verkauft vor allem lustige Socken, Höschen und Boxershorts. Und das sehr erfolgreich, schenkt man den Unternehmensangaben Glauben: Demnach haben bereits über eine Million Kunden bei Dedoles bestellt, die slowakische Firma ist in 19 Ländern Europas aktiv, auch in Deutschland. Der Sicherheitsexperte Daniel Ruf interessierte sich jedoch nicht für die bunten Socken, sondern für die IT-Sicherheit des Shops.

Ruf entdeckte prompt mehrere Schwachstellen des Typs "Cross Site Scripting" (XSS) im Shopsystem. Lange suchen musste er dafür nicht: Die erste fand er gleich auf der Startseite, in einer zentralen Funktion des Shops.

Lustige Socken, löchriger Shop: Dedoles hat seit Monaten Probleme mit XSS-Lücken.

XSS-Lücken zählen zu den häufigsten Sicherheitsproblemen von Websites. Patzt ein Server bei der Überprüfung von Nutzereingaben, zum Beispiel bei eingetippten Suchbegriffen, dann bekommt ein Angreifer die Chance, eigenen Code in die Website einzuschleusen. Dieser wird dann vom Browser des Opfers im Kontext der Site ausgeführt. Der Angreifer kann so zum Beispiel Zahlungsdaten ausleiten oder Schadsoftware verteilen.

Solche Lücken sind zwar gefährlich, aber auch leicht zu beheben. Es sind nur kleine Änderungen am Quellcode nötig, um potenziell gefährliche Zeichen aus Nutzereingaben herauszufiltern und das Einschleusen von schädlichen Inhalten effektiv zu verhindern.

Daniel Ruf hatte Dedoles pflichtbewusst über seine Funde informiert, in der Hoffnung, dass die Lücken geschlossen werden, bevor sie von Cyber-Schurken entdeckt werden. Doch passiert ist nichts: "Bislang gab es keinerlei Antwort oder Reaktion von Dedoles auf meine Nachrichten", erklärte er gegenüber c’t. Er bat uns deshalb, den Fall zu übernehmen.

Mehr Infos

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Wir suchten daraufhin nach einem geeigneten Ansprechpartner bei dem Socken-Shop und kontaktierten am 20. Oktober die Pressestelle des Unternehmens. In unserer Mail befanden sich nicht nur sämtliche Informationen, die zur Behebung der Schwachstellen nötig sind, sondern auch einige Standardfragen: Wie lange existieren die Sicherheitslücken schon, wurden sie bereits von Cyber-Schurken genutzt und so weiter.

Das Unternehmen reagierte auch auf unsere Mail nicht. Rund einen Monat später, am 16. November, kontaktierten wir Dedoles erneut. Auch dieses Mal warteten wir einen Monat auf eine Antwort – vergebens. Unsere Fragen blieben unbeantwortet, die Lücken ungepatcht.

Mehr Infos

2/2021

In c’t 2/2021 werfen einen Blick in die Glaskugel und beleuchten die IT-Trends der kommenden Jahre. Sie erfahren, wie Sie privat und sicher surfen können, und welcher Browser dies besonders gut unterstützt. Ob die Pandemie als Jobmotor taugt, untersuchen wir im IT-Gehaltsreport. Wir testen Multifunktionsdrucker fürs Homeoffice, zeigen, wie Sie Ihr NAS vor Hackerangriffen schützen, und stellen einen universellen Windows-Boot-Stick vor. Dies und viel mehr lesen Sie in c’t 2/2021. Die Ausgabe ist ab dem 1.1.2021 im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

(rei)