Update: SUPR.com Shops (nicht mehr) von Sicherheitslücke betroffen

(Hinweis: Bitte Update beachten!) SUPR – ein Angebot der Supreme NewMedia GmbH – ist ein Portal für Shopbetreiber, welches mit einem kostenlosen, eigenen Onlineshop für jedermann wirbt. „Starte Deinen eigenen Onlineshop! SUPR ist ein 100% kostenloses und modernes Shopsystem mit wunderschönen Designs und kinderleichter Bedienung!“ so lautet die Werbebotschaft direkt auf der Startseite. Allerdings musste ich feststellen, dass dieser kostenlose Onlineshop auch gleich ein kostenloses Sicherheitsrisiko mit sich bringt und die Betreiber nicht gerade ein erhöhtes Interesse für die Sicherheit der Nutzer und deren Kunden zeigen.

Die Supreme NewMedia GmbH ist seit vielen Jahren bekannt für diverse Lösungen, rund um die eBay-Plattform. Sehr bekannt ist zum Beispiel der „Supreme Lister„, mit dem man als Verkäufer seine Artikel bei eBay hochladen und dabei diverse Funktionen nutzen kann. Laut Angaben des Anbieters werden aktuell 5.093.000 Supreme Widgets im Live-Betrieb bei eBay eingesetzt. Ganze 2.961.144 Artikel wurden mit dem Supreme Lister bei eBay eingestellt und stolze 408.632 Kunden zählen zu den „erfolgreichen Supreme Kunden“. Man kann also davon ausgehen, dass das Portal „SUPR.com“ durchaus ein hohes Aufkommen von Besuchern hat, was man alleine an den über 5.000 Fans bei Facebook feststellen kann. Eine primitive Abfrage bei Google wirft derzeit 420.000 Ergebnisse aus, die mit dem Shopsystem von SUPR.com in Zusammenhang stehen. Darunter findet man unzählige Onlineshops, die – oft auch unter eigenen Domains – das Shopsystem von SUPR.com nutzen. Wird eine Schwachstelle in diesem System bekannt, dann wird dies mit hoher Wahrscheinlichkeit eine sehr große Anzahl von Shopbetreibern und gleichermaßen deren Kunden treffen. Demnach könnte die Zahl der gefährdeten Nutzer/Kunden/Besucher durchaus im Millionenbereich liegen.

Vor einer Woche bin ich im Rahmen des Projektes Sicherheit-Online auf eine XSS-Schwachstelle bei SUPR.com gestoßen, welche das Einbinden und Ausführen beliebigen Codes durch manipulierte Parameter ermöglicht. Angreifer können diese Art von Schwachstelle nutzen, um – in der Regel sogar völlig anonym – Angriffe auf Besucher der jeweiligen Website auszuführen, Phishing mit optimalen Voraussetzungen zu betreiben oder gar Malware an Besucher zu verteilen. Das größte Problem bei XSS ist, dass der normale Besucher – wenn er auf einen präparierten Link klickt und so zur manipulierten Seite gelockt wird – ersteinmal absolut keine Gefahr erkennt und auch keinerlei Möglichkeit hat, die Echtheit der Seite zu validieren, sofern er sich in der Materie nicht auskennt. Selbst der übliche Tipp von Banken und Sicherheitsberatern „Prüfen Sie, ob ein SSL-Zertifikat vorhanden ist (https statt http) und die Domain zum Zertifikat passt!“ ist bei XSS nutzlos, wenn Inhalte von externen Servern geladen werden können. Der Browser prüft lediglich das Zertifikat für die Hauptseite – also die Domain, die aufgerufen wird – jedoch nicht für Frames, die ja im Prinzip wie ein zusätzliches Tab funktionieren (grob beschrieben). Angreifer können also vorgeben, dass es sich um eine Unterseite oder einen Bereich der richtigen Website handelt und dort dann den jeweiligen Schadcode einbinden. Ein weiterer Vorteil für Angreifer ist die Tatsache, dass der eigentliche Angriff oder „Hack“ vom User ausgelöst wird, nicht vom Angreifer. So könnte ein Hacker auch hergehen und gezielte Opfer suchen, um ihnen Straftaten anzuhängen, zum Beispiel durch ein eingebundenes Script, welches andere Seiten angreift, durch XSS-DDoS-Scripts, eingebundene URLs mit SQL-Injections usw…

Die Gefahren und Folgen einer XSS-Schwachstelle werden in der Regel komplett unterschätzt. Früher konnte man mit Cross-Site-Scripting auch relativ wenig anfangen, da der Umfang der Angriffsmöglichkeiten noch nicht klar war. Heute weiß man aber, dass XSS sehr wohl hochgradig gefährlich sein kann, gerade weil es unkontrolliert passieren kann und je nach Konstellation auch keinerlei Verdacht geschöpft wird, bis es schon zu spät ist. Kurz gesagt: Ein Betreiber, der tausende Kunden hat, die ebenfalls viele Kunden und Besucher haben, sollte im absoluter „Mopsgeschwindigkeit“ handeln/reagieren, wenn er Kenntnis über eine Schwachstelle in seinen Angeboten hat. Bei SUPR.com bzw. der Supreme NewMedia GmbH scheint dies aber – leider – nicht der Fall zu sein.

Nachdem ich vergangene Woche eine Schwachstelle im Shopsystem von SUPR.com entdeckt und validiert habe, gab ich selbstverständlich ohne lange zu warten, eine Sicherheitsmeldung an die Betreiber ab und bat diese, mich bezüglich der Sicherheitsproblematik zu kontaktieren, so dass ich Details übersenden kann. Ich habe mir angewöhnt, bei allgemeinen Kontaktmöglichkeiten nicht gleich mit Details und quasi der Tür ins Haus zu fallen, da die ersten Ansprechpartner in der Regel nicht wissen, wovon ich eigentlich spreche/schreibe und daher das Ganze eher als Spam werten, statt eine Sicherheitswarnung zu sehen. Ich habe also die Betreiber gebeten, mit mir Kontakt aufzunehmen – bestenfalls gleich durch die jeweilig Zuständigen, so dass ich Details und eine Demonstration überliefern kann.

Eine Mitarbeiterin bei SUPR hat mir einen Tag nach meiner Nachricht, per E-Mail mitgeteilt, dass die Sicherheitswarnung an die zuständige Abteilung weitergeleitet wurde. Zudem habe ich ein „Ticket“ erhalten, so dass man die Kommunikation besser zuordnen kann. Ich ging also davon aus, dass man mich sicherlich wenige Stunden später oder vielleicht in die darauf folgenden Tagen gleich kontaktieren würde.

Leider war dies nicht der Fall. Stattdessen bekam ich eine Aktivierungsmail von SUPR.com, mit der ich meine E-Mail-Adresse bestätigen sollte. Das war dann der erste Moment, in dem ich mich fragte, ob ich im falschen Film bin. Abgesehen davon, empfand ich es bereits sehr unverschämt, dass man mich sofort per „Du“ anspricht, als hätte ich mit der Mitarbeiterin im Support schon einen gemeinsamen Kaffee oder andere Dinge genossen. *hust*

Ich dachte mir dann zunächst, dass man vielleicht innerhalb des Supportbereiches des Portals mit mir kommunizieren möchte und hierzu einen Account eingerichtet hat, den ich noch aktivieren muss. Gut, ich war so frei und habe dies bestätigt – wie erwähnt, in dem Gedanken, dass man dort kommunizieren möchte. Allerdings kam dann der zweite Moment in dem ich mich fragte, ob ich im falschen Film bin. Denn statt einer Kommunikation über einen Supportbereich, habe ich mit der Aktivierung lediglich meinen Account bei SUPR.com bestätigt, in dem ich nun meinen ganz eigenen, kostenlosen, super modernen und super unsicheren Onlineshop erstellen kann. In meinen Augen ist dies ja schon unverschämt, denn einen Account oder gar einen SUPR-Shop wollte ich ganz sicher nicht.

In den darauf folgenden Tagen habe ich leider von SUPR.com nichts mehr gehört. Man hat gar nicht nachgefragt, um welche Schwachstelle es sich handelt, noch hat man sie selbst entdeckt und beseitigt (was ja erfahrungsgemäß häufiger passiert). Ich habe mich also nochmal hingesetzt und zusammen mit der Ticket-ID eine Nachricht an SUPR geschickt, in der ich lediglich fragte, ob denn nun noch etwas passiert mit meiner Meldung. Immerhin ist das Sicherheitsrisiko für SUPR und deren Nutzer, sowie der Kunden und Besucher dieser Nutzer, nicht unbedingt eine Sache, die man mit überwältigender Gemütlichkeit betrachten sollte. Statt einer direkten Antwort, erhielt ich aber folgende und bisher auch letzte Nachricht:

Spätestens da war mir klar: Ich BIN im falschen Film, definitiv! Selbstverständlich ist mir klar, dass ein Anbieter wie SUPR nicht nur 2-3 E-Mails am Tag erhält und demnach eine Bearbeitung durchaus ein wenig Zeit benötigen kann. Allerdings bekam ich ja bereits einen Tag nach meiner ersten Nachricht eine Bestätigung, dass diese eingeganen ist und von einer Mitarbeiterin an die Zuständigen weitergeleitet wurde. Vielleicht erhofft man sich ja, dass ich tatsächlich noch ein VIP-Ticket für 10 EUR löse, um bei SUPR.com eine Sicherheitslücke zu melden. Schließlich konnte man mich ja schon zum Eröffnen eines Accounts „phishen“. Natürlich… nicht.

An dieser Stelle möchte ich aus gegebenem Grund eine öffentliche Sicherheitswarnung herausgeben, um sämtliche Nutzer des SUPR-Shopsystems und auch deren Besucher und Kunden, vor Angriffen zu warnen. Da gerade in „Sozialen Netzwerken“ die Verbreitung von „Phishing-Links“ sehr stark ist, sollten Sie auf gar keinen Fall auf einen Link klicken, den Sie nicht kennen oder bei dem Sie nicht sicher sein können, dass er „echt“ ist. Schwachstellen im Webbrowser können zudem auch dafür sorgen, dass nicht nur Phishing-Fallen auf Sie warten, sondern auch Ihr Endgerät mit Malware versorgt werden kann. Shopbetreibern die das Angebot von SUPR.com wahrgenommen haben, sollten extrem aufpassen, wenn sie Nachrichten mit Links zu ihren eigenen Shops erhalten. Es könnte durchaus eine Fall sein, die weitreichende Folgen hat.

Ich möchte auch die Supreme NewMedia GmbH öffentlich bitten, Kontakt mit mir aufzunehmen – vorzugsweise per E-Mail, um Kommunikation nachvollziehbar und nachweisbar zu führen – und die Sicherheitslücke in den SUPR-Shops zu beseitigen.

Selbstverständlich werde ich bei Neuigkeiten ein Update zum Beitrag veröffentlichen.

Update 29.04.2015:

Es gibt Neuigkeiten zur Schwachstelle bei SUPR – Der Betreiber hat in der Zwischenzeit reagiert und ein Patch gegen das gemeldete Sicherheitsproblem eingespielt, welches die Shopbetreiber und auch Kunden vor möglichen Übergriffen schützen soll. Am Montag in den Abendstunden erhielt ich eine Antwort auf meine Nachricht und auch auf den Hinweis bezüglich der Sicherheitsproblematik. Man bedankte sich für den Hinweis und entschuldigte sich für die verspätete Rückmeldung. Zwar habe man nicht sofort auf meine Nachricht mit dem Hinweis geantwortet, jedoch wurde der Hinweis ernstgenommen und – wie erwähnt – ein Update bereitgestellt/eingespielt. Die aufgezeigte Schwachstelle im System ist demnach geschlossen, eine einfache Nachkontrolle von meiner Seite brachte ein positives Ergebnis. Die Kommunikation war sehr freundlich und ausführlich, was ich ebenfalls als sehr positiv bewerten möchte. Es kommt nicht selten vor, dass Betreiber sehr aggressiv reagieren oder gar mit Drohungen versuchen, eine Berichterstattung zu unterbinden. Bei SUPR war dies allerdings das klare Gegenteil, was ich quasi SUP(e)R finde. In den Antworten auf meine Nachrichten hat man sich auch für das Missverständnis mit dem VIP-Support entschuldigt. Das System würde automatisierte Antworten versenden, die entsprechende Hinweise/Angebote beinhalten. Von meiner Seite her angemerkt, wäre es aber dann auch schön, wenn es speziell für die Kontaktaufnahme außerhalb des eigentlichen Angebots – also für Sicherheitshinweise oder andere Anfragen – eine passende Anlaufstelle gäbe. Aber ok…

Shopbetreiber – welche auf das Angebot von Supreme zurückgreifen – können also aufatmen. Die Schwachstelle wurde von den Betreibern beseitigt. Einen öffentlichen Beitrag zum Update und Informationen im Changelog wurden angekündigt. An der Stelle möchte ich mich dann auch öffentlich bei SUPR bedanken – insbesondere beim COO – dass man nun doch noch recht fix reagiert und auch geantwortet hat.