Aral AG ignoriert weiterhin Sicherheitslücke
sToRm 
Anmerkung: Updates beachten. Bereits seit mehreren Monaten befindet sich im Internetportal der Aral AG eine Sicherheitslücke, die von einem Angreifer beliebig ausgenutzt werden könnte. Ein Beispiel wäre ein Angriff mittels XSS, welcher gravierende Folgen für den Besucher haben könnte. Durch manipulierte Links, über die der Besucher in das Portal gelangt, können problemlos Benutzerdaten, Zugangsdaten, Benutzerverhalten und weitere Informationen ausgespäht werden. Bei einem anfälligem PC könnte sogar ein administrativer Übergriff auf den Computer des Besuchers erfolgen. Vom Angreifer integrierter Schadcode wird auch auf weitergehenden Seiten aufgerufen, was die Gefahr noch verstärkt. Das heisst,...
... auch wenn der Besucher merkt, dass an der aufgerufenen Seite etwas nicht stimmt, hilft es nicht, einfach die Startseite der Aral Internetseite aufzurufen, denn auch dort wird der schädliche Code wieder in den Quelltext geladen.
Seit Monaten hat die Aral AG Kenntnisse zu diesem Problem, doch jeglicher Hinweis wurde weder angenommen noch beantwortet. Auch eine Stellungnahme des Pressesprechers, welche durch uns angefordert wurde, gab es nicht. Dies ist ein absolut unverantwortliches Verhalten für ein Unternehmen wie die Aral AG. Offensichtlich wird hier die Gefahr für die Besucher bzw. Benutzer des Aral Internetportals absolut ignoriert. Man hat weder Versucht, Kontakt mit uns aufzunehmen, noch wurde die Sicherheitslücke geschlossen.
Wer sich das Problem einmal genauer ansehen möchte, kann auf den Seiten der Aral AG gerne eine Runde "Super Mario" spielen: http://i2h.de/a96r5 . Natürlich ist dieses Beispiel für den Besucher und auch den Betreiber absolut unschädlich. Weitere Schwachstellen werden an dieser Stelle nicht genannt, um mögliche Übergriffe zu verhindern.
Fast jeden Tag gibt es neue Meldungen über Angriffe auf große Unternehmen, die immer öfter auch großen Schaden für die Kunden bzw. Benutzer bedeuten. Gerade bei den aktuellen Gefahren, sollte unserer Meinung nach eine erhöhte Aufmerksamkeit gegenüber Meldungen herrschen. Die Aral AG aber ignoriert die Warnungen und Hinweise bereits seit Monaten, was man hier absolut nicht nachvollziehen kann.
Wir bitten an dieser Stelle - falls ein Mitarbeiter der Aral AG hier lesen sollte - die Lücke möglichst umgehend zu schließen und uns möglichst über das weitere Vorgehen zu informieren. Detaillierte Informationen und Hilfestellung zur Beseitigung der Schwachstellen werden natürlich gerne angeboten.
Update 26.07.2011:
Leider gab es bisher noch keinerlei Reaktion von Seiten der Aral AG. Stattdessen hat man weitere Schwachstellen entdeckt, die den dort vorhandenen Onlineshop betreffen. Auch die bereits gemeldeten Probleme sind weiterhin vorhanden und könnten von einem Angreifer ausgenutzt werden. Aufgrund der Rechtslage ist es aber leider nicht möglich, ausführliche Tests durchzuführen, die eine klare Einschätzung bezüglich vorhandener und ggf. weiterer Schwachstellen ermöglichen könnten. Auch die "Guten Jungs" haben sich eben an Regeln und Gesetze zu halten. Sollte aber von Seiten der Aral AG eine Zustimmung vorgelegt werden, so wäre man bereit, ausführliche Tests durchzuführen.
Update II 26.07.2011:
So wie es aussieht, hat man bei der Aral AG nun endlich reagiert und ist bereits daran, die Schwachstellen zu beseitigen. Nach über 4 Monaten Wartezeit hat sich das Engagement wohl doch noch gelohnt. Bleibt abzuwarten, ob man sich von Seiten der Aral AG noch zu einem Statement bewegt oder zumindest Anerkennung der eigenen Fehler zeigt. Gemeldet hat man sich hier bisher nicht. Ob alle Sicherheitslücken geschlossen werden ist fraglich, zumal man es bei Aral anscheinend nicht für nötig hält, genau nachzufragen, welche Schwachstellen entdeckt wurden. Abwarten und Tee trinken, dann weiß man bekanntlich mehr.
(Diese Meldung erscheint derzeit nach Aufruf der Demonstration zur genannten Schwachstelle)
Update III 30.07.2011:
Die Aral AG hat sich in der Zwischenzeit telefonisch bei uns gemeldet. Man hat sich über die Situation und die Problematik mit den Hinweisen unterhalten. Laut Aral ist der damalige Hinweis vom 11.03.2011, sowie die weiteren Hinweise und auch die Aufforderung einer Stellungnahme des Pressesprechers vom 30.03.2011 nicht bis zu den Verantwortlichen bzw. Zuständigen durchgedrungen. Man kann sich die Vorfälle nicht erklären und entschuldigt sich vielmals für die Problematik und die Verzögerungen der Reaktion. Man hat sich trotz der ungünstigen Situation, für die Hinweise bedankt und zu verstehen gegeben, dass die Sicherheit der Benutzer des Aral Internetportals, sehr wohl ein wichtiger Punkt des Unternehmens sei. Auch eine mögliche Kooperation, in Form einer erweiterten Sicherheitsprüfung der Aral Internetangebote durch die FWT-Group bzw. Sicherheit-Online ist im Gespräch.
Es ist schön, dass sich die Situation nun Stück für Stück ins Positive entwickelt. Ob bereits alle entdeckten Schwachstellen behoben wurden, kann man derzeit noch nicht sagen. Eine erneute Nachprüfung fand bisher nicht statt. Wünschenswert wäre ein Statement von Herrn Brandenburg, dem Pressesprecher der Aral AG, welcher nachweislich nicht auf die damalige Meldung reagiert hatte. Man würde gerne erfahren, warum die eigentlich ausführlichen Informationen, zusammen mit den recht einfachen Fragen von damals, unbeantwortet blieben.
