Phishing durch Entwicklerfunktion bei American Express Update

Durch eine ungeschützte Debug-Funktion können Angreifer beliebigen JavaScript-Code auf der Website von American Express platzieren.
Bild: heise Security Der Sicherheitsexperte Niklas Femerstrand hat auf der Webseite des Kreditkartenunternehmens American Express eine Lücke entdeckt, durch die Angreifer unter anderem Login-Daten von Kreditkartenkunden stehlen können. Die Cross-Site-Scripting-Lücke (XSS) erlaubt es Angreifern mittels manipulierter Links, dem Browser des Opfers beliebigen JavaScript-Code unterzuschieben. Der Code wird dann im Kontext der American-Express-Website ausgeführt. Dadurch kann der Angreifer etwa beim Login die eingegebenen Zugangsdaten auslesen, das Cookie stehlen oder dem Opfer Schadsoftware unterjubeln.

Die Lücke befindet sich in einer Debug-Funktion, die ungeschützt über Internet erreichbar und anfällig für Cross-Site-Scripting ist. Heise Security konnte die Schwachstelle nachvollziehen. Für eine kurzfristige Stellungnahme war American Express nicht erreichbar. Femerstrand beklagt, dass er das Unternehmen im Vorfeld nicht erreichen und auf das Problem aufmerksam machen konnte, da American Express auf der Homepage keinen kompetenten Ansprechpartner für Sicherheitsfragen angibt. Daher hat sich der Sicherheitsexperte dazu entschlossen, die vollständigen Details über die Lücke zu veröffentlichen – in der Hoffnung, das Unternehmen dadurch zum Handeln bewegen zu können.

Update: American Express hat die Debug-Funktion inzwischen vom Netz genommen und die Lücke somit geschlossen. (rei)