SCHUFA beseitigt XSS-Schwachstelle im Portal für Geschäftskunden

SCHUFA beseitigt XSS-Schwachstelle im Portal für Geschäftskunden

Das Internetportal „SCHUFA4Business“ war bis zum gestrigen Donnerstag von einer XSS-Schwachstelle betroffen, die in ihrem Umfang durchaus als kritisch einzustufen war. Die Sicherheitsproblematik habe ich im Kontaktformular aufgedeckt und den Betreibern mit einer gezielten Manipulation demonstriert. Wo zuvor das Kontaktformular sichtbar war, gab es einen Musik-Stream, eingeschleust von einer externen Website.

Schuld an der Sicherheitsproblematik waren ungefilterte Parameter im Formular, die eine Manipulation der Seitenausgabe ermöglicht haben. Durch den Ausbruch aus der Seitenstruktur und gezielte Platzierung, konnte so eine „gefälschte“ Website über die der SCHUFA gelegt werden. Durch die Schwachstelle wäre es möglich gewesen, gezielte Angriffe auf Besucher durchzuführen und dabei Eingaben der Benutzer abzufangen. Das gezielte Ausnutzen von Schwachstellen im jeweiligen Webbrowser – über eingeschleusten Code – hätte ebenso die Infektion des Computers eines Besuchers oder gar dessen Kontrollübernahme ermöglicht. Auch Phishing-Attacken – ähnlich wie die bei der Arbeitsagentur in den vergangenen Tagen – wären durch die Schwachstelle im System möglich gewesen.

Ob die Sicherheitsproblematik in der Vergangenheit von Angreifern ausgenutzt wurden, ist nicht bekannt. Die SCHUFA hat jedoch auf meinen Warnhinweis reagiert und die Schwachstelle geschlossen. Man hat sich auch sehr freundlich für den Hinweis und das Engagement bedankt. Weitere Sicherheitsprobleme auf den Seiten der SCHUFA, sind aktuell – zumindest hier – nicht bekannt. Die SCHUFA teilte in ihrer Rückmeldung ebenfalls mit, dass man meinen Hinweis als Anlass genommen hat, die Portale der SCHUFA weiteren Sicherheitstests zu unterziehen.