Aral AG ignoriert kritische Sicherheitslücke

sToRm sToRm
 02.05.2011  12:27
125904 0
Aral AG ignoriert kritische Sicherheitslücke

Bereits vor mehreren Wochen erhielt die Aral AG mehrere Hinweise von uns, zu einer kritischen Schwachstelle im Internetportal auf Aral.de. Die Sicherheitslücke erlaubt einem Angreifer das Ausspähen von Besucherdaten, sowie das unbemerkte Einschleusen von schädlichem Programmcode. Ein Besucher der über einen manipulierten Link in das Portal auf Aral.de gelangt, könnte Opfer eines Angriffs werden, der möglicherweise auch zur Kontrolle des Computers führen könnte. Das Einschleusen von Formularen die den Besucher täuschen und zur Eingabe von sensiblen Daten auffordern, wäre über diese Schwachstelle problemlos möglich. Über eine spezielle Angriffstechnik könnte ebenso das gesamte Surfverhalten ausgespäht werden. Auch die Installation von Malware auf dem PC des Besuchers, wäre über diese Sicherheitslücke möglich. Da infizierter Code über die Sitzung auf der Website gespeichert wird, sind auch alle Unterseiten des Portals betroffen. ...

Video: Demonstration der Sicherheitslücke im Aral.de Internetportal (auf Youtube ansehen)

Leider ignoriert die Aral AG jegliche Hinweise und Warnungen bezüglich der enormen Risiken, die diese Schwachstelle mit sich bringt. Man hat weder Kontakt aufgenommen, noch die Probleme/Sicherheitslücke behoben. Es ist daher empfehlenswert, das Internetportal der Aral AG, bis zur Beseitigung der Sicherheitslücke zu meiden. Da ein Angriff unbemerkt und ohne jegliche “Spuren” zu hinterlassen, durchgeführt werden könnte, schließe ich nicht aus, dass es bereits zu Übergriffen gekommen ist. Es ist wirklich schade, dass sich gerade die großen Unternehmen so oft schwer tun, eine annehmbar sichere Website zu betreiben. In den vergangenen Monaten musste man immer wieder durch zufällig entdeckte “Sicherheitslecks” feststellen, dass sehr viele Unternehmen – welche eigentlich die Möglichkeiten hätten sich zu schützen – gravierende Probleme mit deren Sicherheit haben. Man kann nur hoffen, dass die Aral AG zur Vernunft kommt und ein wenig mehr Interesse für die Sicherheit ihrer Kunden und Besucher aufbringen wird.