Auf der Webseite des Kreditkartenunternehmens American Express hat der Sicherheitsexperte Niklas Femerstrand eine Lücke entdeckt, durch die Angreifer unter anderem Login-Daten von Kreditkartenkunden stehlen können. Mittels manipulierter Links erlaubt die Cross-Site-Scripting-Lücke (XSS) es Angreifern, dem Browser des Opfers beliebigen JavaScript-Code unterzuschieben. Im Kontext der American-Express-Website wird der Code dann ausgeführt. Der Angreifer kann dadurch etwa beim Login die eingegebenen Zugangsdaten auslesen, das Cookie stehlen oder dem Opfer Schadsoftware unterschieben.

In einer Debug-Funktion, die ungeschützt über Internet erreichbar und anfällig für Cross-Site-Scripting ist, befindet sich die Lücke. Da American Express auf der Homepage keinen kompetenten Ansprechpartner für Sicherheitsfragen angibt, konnte Femerstrand das Unternehmen im Vorfeld nicht erreichen und auf das Problem aufmerksam machen. In der Hoffnung, das Unternehmen dadurch zum Handeln bewegen zu können, hat sich der Sicherheitsexperte dazu entschlossen, die vollständigen Details über die Lücke zu veröffentlichen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE