Beim Online-Portal des Anbieters Vodafon ermöglichte eine Schwachstelle den Zugriff auf Kundendaten oder die Manipulation von Rechnungen und vieles mehr.
Anzeige
Die Redaktion von heise wurde von dem Nutzer Daniel Werner (Quality Assurance Engineer) auf die Schwachstelle aufmerksam gemacht. Der Nutzer entdeckte Anfang September 2020 eine Möglichkeit, beliebigen JavaScript-Code in die Vodafone-Website zu injizieren. Die Redaktion von heise hat die Angaben des Nutzers dann überprüft und konnte das Problem auf vodafone.de bestätigen.
JavaScript-Injection in Suchanfragen
Die Schwachstelle bestand darin, dass der Suche in der Webseite ein JavaScript-Befehl untergeschoben werden konnte. Der JavaScript-Code wird dann im Kontext der Webseite ausgeführt. Gelingt es einem Angreifer einen Vodafone-Kunden über einen manipulierten Link auf die Vodafone-Seite zu locken, bekommt er Zugriff auf alle Ressourcen, die dem Kunden auch zur Verfügung stehen. Heise schreibt:
Im Fall von Vodafone wäre es höchstwahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten.
Rufumleitungen zu teuren Premiumrufnummern oder ins Ausland führen beim Opfer dann zu hohen Telefonrechnungen. Der Betrug fällt erst bei der nächsten Telefonrechnung auf. Wenn ich so an meine Online-Portale von Providern denke, werden dort auch die Mail-Konten des E-Mail-Servers verwaltet, so dass dort auch Mail-Umleitungen eingerichtet werden können. Da ergebt sich einige Missbrauchsmöglichkeiten.
Vodafone reagiert nicht
Der Versuch von Daniel Werner, diese Schwachstelle an Vodafone zu melden, scheiterte aber – der Provider reagierte schlicht nicht (erinnert mich an den Beitrag 'Kundendienst': Internetstörung bei Vodafone/Unitymedia). Erst als heise sich einschaltete, wurde die Schwachstelle, die dem Provider seit Anfang August 2020 Zeit bekannt war, bestätigt. Der Kontakt von heise fand am 31. August 2020 statt, da war die Schwachstelle noch nicht geschlossen.
Anzeige
Inzwischen hat Vodafone die Schwachstelle geschlossen und schreibt gegenüber heise 'Hinweise über Missbrauchsfälle oder Auffälligkeiten aus dieser geschlossenen potenziellen Schwachstelle' lägen nicht vor. Weitere Details lassen sich hier nachlesen.
Ergänzung: Der Kommentar hier weist auf öffentlich zugängliche Access Logfiles (beinhalteten IP Adressen von Vodafone und Unitymedia-Kunden) von mehreren Vodafone Servern hin. Es scheint da aber keine Details zu geben und die logs sind jetzt nicht mehr öffentlich abrufbar.
Anzeige
Vodafone ist nicht gerade das Unternehmen auf dem Markt, welches seinen Kunden ein offenes Ohr schenkt. Angefangen bei den ganzen Reklamationen und Störungen, falsche oder zu hohe Rechnungen. Vodafone passt sich den Bedürfnissen seiner Kunden einfach nicht an. Statische Unternehmensführung und leicht überheblich.
Warum sollten die dann auf den Hinweis einer XSS Lücke (Reflected Cross-Site-Scripting) reagieren?
Erst nachdem Daniel Werner eine mächtigere "Instanz" Heise eingeschaltet hatte, wurde reagiert. Warum müssen wir immer wieder erst zu solchen Mitteln greifen?
Ich habe versucht 2 Jahre lang mit Vodafone über JavaScript Lücken, Sicherheitslücken in den Standard-Router-Modellen in Kontakt zu treten über Soziale Medien Kanäle, per E-Mail, Post und Telefon, Presse-Team.
Es gibt keine Reaktion, Mitarbeiter sind nicht geschult oder haben keine ausreichende Wissensdatenbank wie zu reagieren ist.
Häufig haben die Mitarbeiter auch keine Ansprechpartner oder diese sind nicht erreichbar.
Passt perfekt zu dem, was ich im verlinkten Artikel zum Support skizziert habe. Danke für die Rückmeldung.