Beim Bestelldienst Lieferando gibt es offenbar eine Sicherheitslücke, über die Angreifer Kundenkonten übernehmen können. Das Unternehmen wurde bereits vor einem Monat über die Schwachstelle aufgeklärt, soll aber noch nicht reagiert haben. Update: Lieferando gab bekannt, die Sicherheitslücke geschlossen zu haben.

Tastatur mit Programmcode

(Bildquelle Cyberangriff: ronstik via Shutterstock)

Auf der Website von Lieferando gibt es offenbar eine Sicherheitslücke, die Angreifer dazu nutzen können, um Kundenkonten des Lieferdienstes zu übernehmen. Wie Heise Online berichtet, lasse sich über das Suchfeld der Website einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben, der dann ausgeführt wird. Dadurch können Angreifer dann Cookies auslesen und Lieferando-Kundenkonten übernehmen.

Lieferando soll dabei bereits „vor über einem Monat“ von dem Sicherheitsforscher Robert Kugler über die Schwachstelle informiert worden sein. Kugler habe aber „bislang keine zufriedenstellende Rückmeldung“ von dem Unternehmen erhalten. Der Support habe lediglich versucht, die IT-Abteilung zu erreichen – geschlossen wurde die Lücke bei Lieferando aber noch nicht, wie Heise Security festgestellt hat.

Login-Button kann manipuliert werden

Die Lücke ermöglicht es Angreifern aber offenbar nicht nur, Kundenkonten zu übernehmen. Angreifer seien auch in der Lage, den Login-Button von Lieferando zu manipulieren und Nutzer so umzuleiten. Es sei auch möglich, wie Kugler betont, dass ein Exploit-Kit auf der Website von Lieferando verankert wird. Damit könnten Angreifer letztlich Schadsoftware bei den Nutzern hochladen und ausführen.

Screenshot der Lieferando Lücke
Über die XSS-Lücke lassen sich Cookies auslesen und Kundenkonten übernehmen (Screenshot: Heise Online)

Immer wieder werden XSS-Lücken auf Websites von Unternehmen entdeckt. Vergangenes Jahr hatte Ebay zwei XSS-Lücken geschlossen, auch Facebook und MySpace waren schon von derartigen Schwachstellen betroffen.

 

Update: Lieferando hat die Sicherheitslücke offenbar geschlossen

Lieferando gab heute Nachmittag bekannt, die Sicherheitslücke geschlossen zu haben. Nutzerdaten seien „zu keinem Zeitpunkt“ in Gefahr gewesen, versichert der Lieferdienstanbieter laut Heise Online. Zudem sei es auch nicht möglich gewesen, Kundenkonten zu kapern. Das Unternehmen erklärte, dass es sich nicht um eine richtige Cross-Site-Scripting-Lücke gehandelt habe. Heise Security konnte aber „in klassischer XSS-Manier“ einen Code im Webbrowser ausführen. Anschließend sei ein Session-Cookie angezeigt worden. Heise konnte bestätigen, dass dies nun nicht mehr möglich ist und die Lücke damit geschlossen ist.