DOM-XSS-Sicherheits-Bug trifft Tinder, Shopify, Yelp & Co.

Publiziert am 13. Oktober 2018 von Günter Born

Benutzer von Diensten wie Tinder, Shopify, Yelp und weiterer Anbieter sind in ihrer Sicherheit bedroht. Sicherheitsforscher von vpnMentor sind auf einen DOM-XSS-Bug gestoßen, der ermöglicht, Informationen über die betreffenden Apps  oder Webseiten abzuziehen. Potentiell sind 685 Millionen Nutzer von dieser Sicherheitslücke betroffen.

Anzeige

Ich bin gestern von vpnMentor per Mail auf das Thema hingewiesen worden. Ein Team von Sicherheitsforschern von vpnMentor untersuchte Dating-Apps von der Client-Seite auf das Thema Sicherheit. Eines der Hauptziele war natürlich der Anbieter Tinder und dessen Dating-App. Dabei wurde eine erschreckende Sicherheitslücke entdeckt, die 685 Millionen Nutzer bedroht.

Tinder mit Sicherheitsproblemen?

Nach ersten Schritten fanden die Sicherheitsforscher eine Tinder-Domäne, die gleich mehrere client-seitige Sicherheitsprobleme aufwies. Dadurch konnten Hacker Zugriff auf die Profile und Details der Benutzer erhalten. Unmittelbar nach dem Auffinden dieser Schwachstellen kontaktierten die Sicherheitsforscher Tinder über deren Offenlegungsprogramm und begannen mit deren Sicherheitsverantwortlichen mit der Aufarbeitung.

Die Schwachstelle liegt bei branch.io

Im Rahmen der Diskussion mit Tinder kam heraus, dass die die anfällige Domäne nicht selbst betreiben, sondern branch.io dafür verantwortlich ist. Das ist eine Plattform, die von vielen großen Unternehmen auf der ganzen Welt genutzt wird. Das Tinder-Sicherheitsteam half den Sicherheitsforschern mit branch.io in Kontakt zu treten. Bei branch.io hat man inzwischen einen Patch veröffentlicht.

Viele Anbieter von der Schwachstelle betroffen

Als die Sicherheitsforscher weiter suchten, fanden diese heraus, dass viele große Websites den anfälligen Endpunkt in ihrem Code und ihren Domänen verwendeten. Betroffen sich unter anderem Shopify, Yelp, Western Union und Imgur. Das bedeutet, dass bis zu 685 Millionen Nutzer von der DOM-XSS-Schwachstelle betroffen und gefährdet sein könnten.

Während der Fehler bereits behoben wurde, empfehlen die Sicherheitsforscher Nutzern, die kürzlich Tinder oder eine der anderen betroffenen Websites verwendet haben, diese zu überprüfen, um sicherzustellen, dass Ihr Konto nicht gefährdet wurde. Es ist wohl zusätzlich eine gute Idee, das Passwort für die betreffenden Dienste so schnell als möglich zu ändern.

Details über die Schwachstelle lassen sich in diesem Blog-Beitrag (Englisch) nachlesen. The Register hat inzwischen ebenfalls einen Artikel zum Thema publiziert.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.