![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Benutzer von Diensten wie Tinder, Shopify, Yelp und weiterer Anbieter sind in ihrer Sicherheit bedroht. Sicherheitsforscher von vpnMentor sind auf einen DOM-XSS-Bug gesto\u00dfen, der erm\u00f6glicht, Informationen \u00fcber die betreffenden Apps oder Webseiten abzuziehen. Potentiell sind 685 Millionen Nutzer von dieser Sicherheitsl\u00fccke betroffen. <\/p>\n
<\/p>\n
Ich bin gestern von vpnMentor per Mail auf das Thema hingewiesen worden. Ein Team von Sicherheitsforschern von vpnMentor untersuchte Dating-Apps von der Client-Seite auf das Thema Sicherheit. Eines der Hauptziele war nat\u00fcrlich der Anbieter Tinder und dessen Dating-App. Dabei wurde eine erschreckende Sicherheitsl\u00fccke entdeckt, die 685 Millionen Nutzer bedroht. <\/p>\n
Nach ersten Schritten fanden die Sicherheitsforscher eine Tinder-Dom\u00e4ne, die gleich mehrere client-seitige Sicherheitsprobleme aufwies. Dadurch konnten Hacker Zugriff auf die Profile und Details der Benutzer erhalten. Unmittelbar nach dem Auffinden dieser Schwachstellen kontaktierten die Sicherheitsforscher Tinder \u00fcber deren Offenlegungsprogramm und begannen mit deren Sicherheitsverantwortlichen mit der Aufarbeitung. <\/p>\n
Im Rahmen der Diskussion mit Tinder kam heraus, dass die die anf\u00e4llige Dom\u00e4ne nicht selbst betreiben, sondern branch.io daf\u00fcr verantwortlich ist. Das ist eine Plattform, die von vielen gro\u00dfen Unternehmen auf der ganzen Welt genutzt wird. Das Tinder-Sicherheitsteam half den Sicherheitsforschern mit branch.io in Kontakt zu treten. Bei branch.io hat man inzwischen einen Patch ver\u00f6ffentlicht.<\/p>\n
Als die Sicherheitsforscher weiter suchten, fanden diese heraus, dass viele gro\u00dfe Websites den anf\u00e4lligen Endpunkt in ihrem Code und ihren Dom\u00e4nen verwendeten. Betroffen sich unter anderem Shopify, Yelp, Western Union und Imgur. Das bedeutet, dass bis zu 685 Millionen Nutzer von der DOM-XSS-Schwachstelle betroffen und gef\u00e4hrdet sein k\u00f6nnten.<\/p>\n
W\u00e4hrend der Fehler bereits behoben wurde, empfehlen die Sicherheitsforscher Nutzern, die k\u00fcrzlich Tinder oder eine der anderen betroffenen Websites verwendet haben, diese zu \u00fcberpr\u00fcfen, um sicherzustellen, dass Ihr Konto nicht gef\u00e4hrdet wurde. Es ist wohl zus\u00e4tzlich eine gute Idee, das Passwort f\u00fcr die betreffenden Dienste so schnell als m\u00f6glich zu \u00e4ndern. <\/p>\n
Details \u00fcber die Schwachstelle lassen sich in diesem Blog-Beitrag<\/a> (Englisch) nachlesen. The Register hat inzwischen ebenfalls einen Artikel<\/a> zum Thema publiziert. <\/p>\n","protected":false},"excerpt":{"rendered":" Benutzer von Diensten wie Tinder, Shopify, Yelp und weiterer Anbieter sind in ihrer Sicherheit bedroht. Sicherheitsforscher von vpnMentor sind auf einen DOM-XSS-Bug gesto\u00dfen, der erm\u00f6glicht, Informationen \u00fcber die betreffenden Apps oder Webseiten abzuziehen. Potentiell sind 685 Millionen Nutzer von dieser … Weiterlesen