Das Security Research Team von Checkmarx hat zwei eklatante Sicherheitslücken bei der Online-Plattform Meetup.com entdeckt – einem Portal, das weltweit Millionen von Menschen nutzen, um persönliche oder virtuelle Treffen zu organisieren. Die von Checkmarx dokumentierten Schwachstellen erlaubten es Angreifern, sich bei Meetup-Events zunächst Co-Organisator-Rechte zu sichern und dann Zahlungen der Teilnehmer auf beliebige Paypal-Konten umzuleiten. Die Sicherheitsexperten von Checkmarx haben den Betreiber über die Schwachstellen informiert, der sie inzwischen behoben hat.
Das Checkmarx Team hatte Meetup.com als einen von mehreren Online-Diensten unter die Lupe genommen und war dabei auf zwei weit verbreitete und äußerst gefährliche Schwachstellen gestoßen: Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Die Kombination der beiden Schwachstellen ermöglichte es den Security-Experten, Scripts in das Chat-Fenster eines Meetup-Events zu injizieren und so die volle Kontrolle über virtuelle Veranstaltungen zu erlangen. Hatte sich das Research-Team erst Organisator-Rechte gesichert, konnte es alle Privilegien nutzen, die sonst nur dem Veranstalter vorbehalten sind.
Gängige, aber gefährliche Sicherheitslücken
Nachdem sich das Experten-Team ohne jegliche Autorisierung oder Genehmigung von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator befördert hatte, führte es den Angriff im Rahmen eines Proofs-of-Concept noch eine ganze Stufe weiter: Unter Verwendung derselben Technik entwickelten die Experten ein zweites Skript, mit dem sich das für Teilnehmerzahlungen hinterlegte PayPal-Konto ändern ließ. Der rechtmäßige Organisator hätte von dieser Manipulation nichts bemerkt, da das System ihn nicht über die Änderung der E-Mail-Adresse informiert hätte – sämtliche Zahlungen wären unbemerkt an den Hacker geflossen.
Besonders kritisch: Da die Chat-Funktion standardmäßig in allen Veranstaltungen verfügbar ist, waren potenziell auch alle Meetups von der Schwachstelle betroffen.
Sicherheitslecks geschlossen
Die Sicherheitsexperten von Checkmarx haben die identifizierten Schwachstellen umfassend dokumentiert und anschließend die Meetup.com-Plattform über das enorme Risikopotenzial informiert. Der Betreiber nahm die Hinweise ernst, übernahm die Verantwortung und schloss die Sicherheitslücken.
Checkmarx sieht es als eine der wichtigsten Aufgaben eines Security-Anbieters, das Bewusstsein für die Software-Security zu schärfen und aufzuzeigen, welche Gefahr von unsicheren Anwendungen ausgeht. Wenn die Entwickler mit bekannten Schwachstellen wie Cross-Site Scripting oder Cross-Site Request Forgery vertraut sind und die etablierten Best Practices für sicheres Coding einhalten, lässt sich das Risikopotenzial bereits nachhaltig minimieren. Alternativ sind auf dem Markt heute auch durchgängige Software-Security-Plattformen erhältlich, die den Anwendungscode über den gesamten Entwicklungszyklus analysieren und sicherheitsrelevante Fehler im Code bereits in der Entwicklungsphase identifizieren und beheben.
Über Checkmarx
Checkmarx ist einer der weltweit führenden Anbieter von Software-Security-Lösungen für die Entwicklung von Enterprise-Software. Das Unternehmen bietet eine der branchenweit umfassendsten Software-Security-Plattformen, die mit statischem und interaktivem Application Security Testing, der Analyse von Open-Source-Komponenten und AppSec-Training für Entwickler an der Schnittstelle von DevOps und Security ansetzt. So minimiert Checkmarx auch in schnell getakteten DevOps-Umgebungen zuverlässig Risiken durch Software-Schwachstellen. Checkmarx ist für über 40 Unternehmen auf der Fortune 100 Liste und die Hälfte der Fortune 50 tätig, darunter führende Unternehmen wie SAP, Samsung und Salesforce.com. Erfahren Sie mehr unter www.checkmarx.com
Firmenkontakt
Checkmarx Ltd.
Dr. Christopher Brennan
c/o: Neue Straße 7
91088 Bubenreuth
+49 175 2676 264
christopher.brennan@checkmarx.com
https://www.checkmarx.com/
Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de
http://www.h-zwo-b.de/