Rakuten.de beseitigt mehrere Schwachstellen

Vor wenigen Tagen habe ich die Betreiber des Shopping-Portals und Zahlungsdienstes „Rakuten“ (ehemals Tradoria), über diverse Schwachstellen innerhalb der Internetpräsenz informiert. Ungefilterte Parameter in der Produktsuche, der allgemeinen Suchfunktion und auch im Login-Bereich, ermöglichten die Manipulation der Ausgabe, sowie das Einschleusen von Schadcode. …

Wie immer war „Nyan Cat“ (ich nenne sie bald XSS-Cat) mit an Bord, als nach dem ersten Fund auch weitere Bereiche des Portals untersucht wurden. Zwar wurden die Parameter der jeweiligen Bereiche zum Teil gefiltert, jedoch waren diese Sicherheitsfunktionen nicht ausreichend, um vor einer Manipulation zu schützen. Angreifer hätten diese Problemzonen für gezielte Phishing-Attacken oder zur Verbreitung von Malware nutzen können, was in einem Shopping-Portal bzw. bei einem Zahlungsdienst nicht unbedingt prickelnd wäre.

Ich habe die Betreiber natürlich direkt nach dem ersten Fund über die Sicherheitsproblematik informiert und anschließend ausführliche Details übersandt, die das Schließen der Schwachstellen erleichtern sollten. Die Betreiber haben auch recht schnell auf die Sicherheitshinweise reagiert und konnten die Problemzonen relativ fix aus der Welt schaffen. Man hat sich auch recht herzlich bei mir bedankt und dabei auch ein kleines Geschenk überreicht (oh freu, ein kleiner Gutschein).

Daumen hoch für Rakuten! Ich erlebe selten, dass Betreiber schnell reagieren, die Schwachstellen umgehend beseitigen, sich bedanken und dann auch noch ein kleines „Dankeschön“ unter den Geek-Baum legen. :o)