Klarna.de ignoriert Schwachstellen trotz Kontakt
sToRm 
Das ist echt der Brüller des Monats. Sowas hat man noch nicht erlebt. Vor etwa 3 Wochen haben wir die Betreiber von Klarna auf Schwachstellen innerhalb des Internetportals (www.klarna.de) hingewiesen. Es handelt sich um XSS-Schwachstellen, die zwar einen Zugriff auf die Datenbanken nicht ermöglichen würden, aber dennoch nicht zu unterschätzen sind. Klarna.de bietet ein Zahlungssystem für Onlineshops und einen internen Bereich für Kunden/Mitglieder an, was durch diese Schwachstellen durchaus gefährdet werden könnte. ...
Ein Angreifer hätte die Möglichkeit, durch gezielte Phishing-Attacken, diverse Benutzerinformationen und Rechnungsdaten zu erhalten oder durch andere Angriffstechniken gar den Rechner des Besuchers mit Malware zu infizieren. Was an XSS-Attacken so besonders gefährlich ist, haben wir bereits in vorherigen Beiträgen erklärt.
Das "Lustige" (nein, eigentlich ist es nicht lustig) an der Sache ist jedoch, dass Klarna unsere Hinweise sehr wohl erhalten hat und sich sogar via Suchmaschine über Sicherheit-Online erkundigt hat. Wenige Tage nach unseren Hinweisen hat uns Klarna.de sogar auf Twitter abonniert. Eine Antwort auf die Sicherheitshinweies haben wir aber komischerweise nicht erhalten. Erst nachdem wir über Twitter eine Meldung veröffentlicht und auch eine private Nachricht an den Account von Klarna gesendet haben, in der wir irritiert nach dem Sinn dieser Handlung fragten, hat man bei Klarna reagiert und uns eine Antwort per Email zugesandt.
Die Email war zwar nett formuliert, aber scheinbar hat man dort die Sache nicht richtig erkannt. Man teilte uns mit:
"...meine Kollegen haben mir Ihre Email bezüglich der Formulare auf unserer Webseite weitergeleitet. Zunächst möchte ich mich bei Ihnen für Ihr Interesse daran bedanken.
Bei Klarna nehmen wir die Sicherheit unserer Seiten sehr ernst und arbeiten regelmäßig mit externen und objektiven Partnern in diesem Bereich zusammen. Da wir also bereits Partnerschaften pflegen, darf ich mich für Ihr Angebot verdanken. Bei eventuellen Rückfragen können Sie sich gern direkt an mich wenden.
Mit freundlichen Grüßen..."
Wir haben natürlich umgehend auf die Email reagiert und entsprechend geantwortet. Dabei haben wir erneut darauf hingewiesen bzw. berichtigt, dass wir nicht interessiert an einer Beauftragung sind, sondern auf sicherheitsrelevante Probleme hinweisen wollten. Erneut hat man erklärt, dass sich bei Klarna.de Schwachstellen befinden, die einen Angreifer geradezu für Phishing-Angriffe einladen würden. Zum Zeitpunkt der Email waren die Schwachstellen natürlich noch vorhanden. Man hat entweder nicht verstanden, worum es geht oder man hat die Sache einfach ignoriert.
Was an der Sache ein wenig stört ist die Tatsache, dass bis Heute die Schwachstellen in ihrer Form vorhanden sind und eine Prüfung durch die IT-Spezialisten bei Klarna wohl nicht stattgefunden hat. Nun soll mal ein Mensch dieses Verhalten verstehen... Man erhält einen Hinweis bezüglich Schwachstellen im eigenen Internetportal. Man informiert sich online über den Finder und durchforscht dessen Website. Anschließend abonniert man den Finder bei Twitter und antwortet Tage später auf einen Hinweis der bereits Wochen zuvor eingetroffen ist. Nun hat man alle Informationen und kümmert sich dennoch kein Stück um Besserung? Muss man das verstehen? *kopfkratz*
Update:
Scheinbar hat die öffentliche Berichterstattung nun doch noch zu einem Erfolg geführt. Die betroffenen Schwachstellen wurden nun beseitigt. Wir nehmen an, dass der Grund für die - jetzt doch noch - schnelle Reaktion, die Berichterstattung hier, sowie auch in einem anderen Portal, speziell für Shopbetreiber war. Wir können also vorerst eine Entwarnung aussprechen. Ausführliche Tests fanden nicht statt, demnach können weitere Schwachstellen nicht ausgeschlossen werden. Es freut uns aber auf jeden Fall, dass die Problematik nun doch noch beseitigt wurde.
