Lieferando: Sicherheitslücke ermöglicht Konto-Übernahme

19. April 2016, 18:52
1 Posting

Sicherheitsforscher macht Problem nach mangelhafter Reaktion des Anbieters öffentlich

Weil eine Sicherheitslücke auf der Website klafft, sollen Angreifer in der Lage sein, Nutzerkonten auf der Seite des Essensbestelldienstes Lieferando zu übernehmen. Das berichtet Heise unter Verweis auf einen Sicherheitsforscher, der entsprechende Informationen übermittelt hat.

Robert Kugler hat demnach herausgefunden, dass es möglich ist, das Suchfeld mit einer Cross-Site-Scripting-Attacke mit Code zu füttern, der anschließend ausgeführt wird. Damit soll es unter anderem möglich sein, Cookies von Nutzern auszulesen und sich damit Zugriff auf ihre Konten zu verschaffen. Denkbar ist es laut Kugler auch, dass Malware auf diese Weise auf der Seite deponiert wird.

Leck soll immer noch bestehen

Er will Lieferando bereits vor einem Monat auf die Schwachstelle aufmerksam gemacht haben.- Da es Seitens der Betreiber aber bisher keine adäquate Reaktion gab, hat er seinen Fund nun öffentlich gemacht. Die Lücke soll nach wie vor bestehen.

Unklar ist, ob auch andere Dependencen des in mehreren Ländern operierenden Anbieters Takeaway.com betroffen sind. In Österreich betreibt man ebenfalls einen Bestelldienst mit gleichem Corporate Design unter dem Namen Lieferservice.at. (gpi, 19.04.2016)

  • Die Lieferando-Website soll anfällig für XSS-Angriffe sein.
    foto: screenshot

    Die Lieferando-Website soll anfällig für XSS-Angriffe sein.

Share if you care.