Menü
Update
Security

Sicherheitslücke bei Lieferando.de

Aufgrund einer Schwachstelle können Angreifer Nutzer-Konten des Pizza-Bestelldienstes Lieferando kapern.

Von
vorlesen Drucken Kommentare lesen 61 Beiträge
Hacker

(Bild: dpa, Karl-Josef Hildenbrand/Symbol)

Der Internet-Auftritt des Pizza-Bestelldienstes Lieferando weist eine Lücke auf, über die Angreifer Accounts übernehmen können.

Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen.

Entdeckt hat die Lücke der Sicherheitsforscher Robert Kugler. Er wandte sich an heise Security, nachdem er das Unternehmen vor über einem Monat kontaktiert hatte und bislang keine zufriedenstellende Rückmeldung erhalten hat.

Über die Lücke wären Angreifer potentiell auch in der Lage, etwa den Log-in-Button der Seite zu manipulieren, um Nutzer umzuleiten. Kugler zufolge ist es auch vorstellbar, dass Kriminelle ein Exploit-Kit auf der Webseite von Lieferando verankern.

Der Sicherheitsforscher gibt an, dass er Lieferando Mitte vergangenen Monats über die Lücke informiert hat. Dabei habe der Support versucht, die IT-Abteilung zu erreichen. Bis dato wurde die Schwachstelle aber noch nicht abgesichert, wie ein Test von heise Security zeigt. Wir haben Lieferando um eine Stellungnahme gebeten.

[UPDATE, 20.04.2016 14:00 Uhr]

Lieferando hat die Lücke mittlerweile abgesichert. (des)