Kritische Sicherheitslücke bei American Express beseitigt

Die Kreditkartenfirma American Express hat eine Sicherheitslücke auf ihrer Web-Site beseitigt, die SQL Injection und damit direkten Zugriff auf die Datenbank ihres Servers ermöglichte. heise Security hatte zuvor den Hinweis eines Lesers an das Unternehmen weitergeleitet.

Der Student Nils Kenneweg hatte entdeckt, dass die Website von American Express die an eine Suchfunktion übergebenen Daten nicht ausreichend filterte und somit ein direkter Zugriff auf den Datenbankserver möglich war. Er unterrichtete die Redaktion von heise Security über diese sogenannte SQL-Injection-Problem, die es auch direkt nachvollziehen konnte und dann den Kreditenkartenhersteller informierte.

Durch geschickt präparierte Suchanfragen konnte man direkt mit der SQl-Datenbank des Servers sprechen.

American Express reagierte prompt und hat die Lücke innerhalb weniger Tage beseitigt. Laut einer Stellungnahme des Konzerns wurde die Lücke nicht missbraucht und es waren keine Kundendaten in Gefahr. Zweifel an letzterem weckt die Tatsache, dass SQL Injection sehr häufig den Zugriff auf alle Daten des betroffenen Systems ermöglicht und in SQL-Meldungen unter anderem auch Tabellen mit Namen wie "Accounts" auftauchten.

Besonders Besorgnis erregend ist, dass die Lücke nicht in irgendeinem versteckten Winkel auftrat sondern in der Suchfunktion – also einem Ort wo man als allererstes nach solchen Problemen suchen würde. Eine Website, die regelmäßig getestet und systematisch abgesichert wird, sollte an einer derart exponierten Stelle eigentlich keine solche Lücken aufweisen. (ju)