Ferrari Shop: Kritische Schwachstellen entdeckt

Ferrari Shop: Kritische Schwachstellen entdeckt

Wie wir vor über einer Woche feststellen mussten, ist der Ferrari Onlineshop von einer kritischen Schwachstelle betroffen, die einem Angreifer das Ausspähen von Benutzerdaten ermöglichen könnte. Auch die Aufzeichnung von Konto- und Kreditkarten-Informationen wäre über die besagte Schwachstelle möglich. Leider konnten wir auf unsere Meldung vor gut einer Woche keine Reaktion feststellen. Die Betreiber haben weder unsere Hinweise beantwortet, noch die Problematik in deren Onlineshop beseitigt.

Ein Angreifer könnte durch ungefilterte Paramter eine sogenannte "XSS-Shell" oder auch jede andere Art von "Schadcode" in die aufgerufene Website integrieren und so die Benutzereingaben, sowie sämtliche andere Informationen aufzeichnen bzw. ausspähen. Sollte der Webbrowser des Besuchers anfällig sein, so könnte auch ein direkter Zugriff auf den Computer des Besuchers stattfinden. Auch Malware könnte über den Browser auf den Computer geschleust werden.

Auslöser für einen derartigen Angriff, wäre ein manipulierter Link, welcher zum Beispiel in den sozialen Netzwerken, in Foren, Blogs oder auch per Email verbreitet werden könnte. Da alleine bei Facebook rund 5 Millionen Fans als potentielle Opfer bezeichnet werden könnten, wird diese Schwachstelle als höchst kritisch angesehen. Ein Fan der bei Facebook auf einen manipulierten Link stößt und darauf klickt, könnte bereits in "die Falle" geraten sein.

Wir hoffen, dass Ferrari möglichst bald auf unsere Hinweise reagiert und die betroffenen Problemstellen beseitigt. Natürlich wären wir bereit hierbei helfend zur Seite zu stehen. Solange dort keine Reaktion erfolgt, bleibt weiterhin eine Gefahr für die Besucher des Ferrari Onlineshops. Daher sollten Besucher des Internetportals bzw. des Ferrari Onlineshops, besonders aufmerksam sein. Bestellungen per Kreditkarte sollten bis zur Beseitigung der Problematik nicht unbedingt durchgeführt werden.

Vorbeugend können sich Internetnutzer mit verschiedenen Erweiterungen für Ihren Webbrowser ausstatten. So könnte zum Beispiel "NoScript" für Firefox, die Benutzer vor einem Übergriff schützen. Zudem sollte man auf keinen Fall über "Shortlinks" den Onlineshop aufrufen. Benutzer die den Ferrari Shop besuchen möchten, sollten unbedingt über die direkte URL den Shop betreten - also die Adresse des Shops direkt in die "Browserzeile" eingeben.

Natürlich werden wir auch weiterhin versuchen, die verantwortlichen Betreiber zu einer positiven Reaktion zu bewegen. Sobald es Neuigkeiten gibt, wird man an dieser Stelle mit einem Update darüber berichten. Natürlich haben wir in der Zwischenzeit auch ein paar Runden "Super Mario" gespielt. Wir möchten aber an dieser Stelle keine Demonstration veröffentlichen und bitten auch andere Medien, sowie unsere Leser, keinerlei Versuche und Demonstrationen bezüglich der Schwachstelle zu veröffentlichen!

Update I - 16.08.2011:
Trotz erneuter Versuche, die verantwortlichen Betreiber zu kontaktieren bzw. diese zu einer Behebung der Probleme zu bewegen, blieb jegliche Reaktion aus. Bisher hat man weder auf unsere Nachrichten geantwortet, noch die jeweiligen Schwachstellen beseitigt. Um einen kleinen Einblick in eine vorhandene Problemstelle zu gewähren, lassen wir einen wahren "VIP" bei Ferrari erscheinen. Die Demonstration ist absolut unschädlich und zeigt lediglich, dass es möglich ist, externe Inhalte in die aufgerufene Website einzuschleusen. Demonstration: http://tinyurl.com/SOferrari http://tinyurl.com/SOFerrari2 (Link Update 04.06.2012) Bezüglich weiterer Schwachstellen möchten wir keine öffentliche Darstellung bieten.