Delcampe ignoriert Sicherheitsprobleme
sToRm 
Wir haben das Online-Auktionshaus für Sammler "Delcampe" vor einem Monat über kritische Sicherheitsprobleme in deren Webangebot informiert. Ungefilterte Parameter ermöglichen einem Angreifer gezielte Attacken auf Nutzer und Besucher, sowie Administratoren des Internetportals. Demnach könnten sensible Informationen ausgespäht oder gar die Kontrolle über Benutzeraccounts erlangt werden. Zudem könnte ein Angreifer Malware über das Portal verbreiten und über gezielte Angriffe auch die Kontrolle des Computers eines "Opfers" erlangen. Trotz Kontaktaufnahme nach unserem Hinweis an die Betreiber, wurde die Problematik nicht beseitigt. ...
Vor einem Monat haben wir die Betreiber auf das Problem mit den ungefilterten Parametern aufmerksam gemacht. Knapp 2 Wochen (!) nach unserem ersten Hinweis, haben wir eine Antwort erhalten, in der man nach detaillierten Informationen fragte. Wir haben den Betreibern auf diese Nachricht hin, eine Demonstration und Schilderung der Problematik übersandt, worauf bis zum heutigen Tag keinerlei Reaktion erkennbar war. Man hat weder auf die Nachricht geantwortet, noch die Schwachstelle im Auktionsportal beseitigt. Demnach sind die Benutzer und Besucher weiterhin einer Gefahr ausgesetzt.
Wir raten den Händlern und Besuchern des Delcampe Auktionsportals, bis zur Beseitigung der Problematik, besonders aufmerksam zu sein und Links zum Auktionsportal nach Möglichkeit nicht anzuklicken, sondern die Adresse des Internetportals stets manuell in die Adresszeile einzufügen, um die Website direkt anzusteuern. Beachten Sie bitte, dass auch Emails mit gefälschtem Absender, manipulierte Links beinhalten könnten, die bei Aufruf Malware auf den Computer schleusen oder über eine präparierte Seite, sensible Daten ausspähen könnten.
Weitere Schwachstellen können wir bislang nicht ausschließen, da für eine ausführliche Prüfung eine Genehmigung der Betreiber vorliegen müsste. Wir gehen aber davon aus, dass dies nicht das einzige Problemchen im Auktionsportal "Delcampe" ist. Natürlich werden wir über das weitere Vorgehen berichten und Entwarnung geben, sobald die Schwachstelle/n beseitigt wurde/n.
