Channel21 ignoriert Sicherheitshinweis
sToRm 
Der Teleshopping Sender "Channel21" wurde vor etwa 3 Wochen auf eine Schwachstelle in dessen Onlineshop hingewiesen. Bisher wurde der Hinweis leider ignoriert und auch das Sicherheitsproblem im Shop ist weiterhin vorhanden. Ein Angreifer könnte dies für gezielte Phishing-Attacken nutzen und dabei sensible Informationen der Besucher und Kunden ausspähen. Die Schwachstelle erlaubt eine direkte Weiterleitung, auf eine externe Website, die vom Angreifer entsprechend präpariert werden könnte. Ein Kunde könnte so zum Beispiel in einen Fake-Shop geleitet werden, welcher die Bestelldaten abfängt und an den Angreifer sendet. ...
Grund für das Problem sind ungefilterte Parameter innerhalb des Shopsystems, die das Ausführen von schädlichem Code oder wie bereits erwähnt eine Weiterleitung erlauben. Weitere Schwachstellen können wir bislang nicht ausschließen. Hierzu wäre eine ausführliche Sicherheitsprüfung notwendig, welche aber aus rechtlicher Sicht nur mit Einverständnis der Seitenbetreiber durchgeführt werden kann. Warum man auf unseren Hinweis nicht reagiert, kann man sich leider nicht erklären.
Wir möchten an dieser Stelle die Besucher und Kunden von Channel21.de vor möglichen Übergriffen warnen. Man sollte möglichst darauf verzichten, Werbelinks zu Channel21 anzuklicken. Da wie auch in anderen Fällen, ein einziger Klick für einen Angriff ausreichend wäre. Sie sollten unbedingt die URL direkt in die Browserzeile eingeben, um in den Shop zu gelangen. Sobald die Problematik von Seiten der Betreiber beseitigt wurde, werden wir natürlich umgehend darüber berichten. Interessant wäre auch ein Statement von Channel21, in welchem man erklärt, warum auf Hinweise zu Sicherheitsproblemen nicht reagiert wird.
Update 09.09.2011:
Vor 2 Tagen erreichte uns eine Nachricht über das Kontaktformular hier im Portal. Ein Mitarbeiter von Channel21 nahm Kontakt mit uns auf und bedankte sich für den Hinweis zur Schwachstelle bei Channel21, welche zwischenzeitlich bereits beseitigt wurde. Es freut uns, dass man nun doch noch auf unsere Hinweise reagiert hat. Ein wenig schade ist aber die Tatsache, dass man bei Channel21 erst aktiv wurde, als wir bei shopinfo.net - dem Herausgeber des Zertifikats an Channel21 - eine Beschwerde eingereicht und auf die Problematik hingewiesen hatten. Fakt ist aber, dass das Problem nun vom Tisch ist und keine Gefahr mehr für die Besucher/Kunden bei Channel21 besteht (zumindest nicht was die oben genannte Schwachstelle betrifft). Das ehrenamtliche Engagement hat sich also wiedereinmal gelohnt.
