![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Beim Online-Portal des Anbieters Vodafon erm\u00f6glichte eine Schwachstelle den Zugriff auf Kundendaten oder die Manipulation von Rechnungen und vieles mehr.<\/p>\nBeim Online-Portal des Anbieters Vodafon erm\u00f6glichte eine Schwachstelle den Zugriff auf Kundendaten oder die Manipulation von Rechnungen und vieles mehr.<\/p>\n
<\/p>\n
Die Schwachstelle bestand darin, dass der Suche in der Webseite ein JavaScript-Befehl untergeschoben werden konnte.\u00a0 Der JavaScript-Code wird dann im Kontext der Webseite ausgef\u00fchrt. Gelingt es einem Angreifer einen Vodafone-Kunden \u00fcber einen manipulierten Link auf die Vodafone-Seite zu locken, bekommt er Zugriff auf alle Ressourcen, die dem Kunden auch zur Verf\u00fcgung stehen. Heise schreibt:<\/p>\n Im Fall von Vodafone w\u00e4re es h\u00f6chstwahrscheinlich m\u00f6glich gewesen, pers\u00f6nliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten.<\/p><\/blockquote>\n Rufumleitungen zu teuren Premiumrufnummern oder ins Ausland f\u00fchren beim Opfer dann zu hohen Telefonrechnungen. Der Betrug f\u00e4llt erst bei der n\u00e4chsten Telefonrechnung auf. Wenn ich so an meine Online-Portale von Providern denke, werden dort auch die Mail-Konten des E-Mail-Servers verwaltet, so dass dort auch Mail-Umleitungen eingerichtet werden k\u00f6nnen. Da ergebt sich einige Missbrauchsm\u00f6glichkeiten.<\/p>\n Der Versuch von Daniel Werner, diese Schwachstelle an Vodafone zu melden, scheiterte aber – der Provider reagierte schlicht nicht (erinnert mich an den Beitrag 'Kundendienst': Internetst\u00f6rung bei Vodafone\/Unitymedia<\/a>). Erst als heise sich einschaltete, wurde die Schwachstelle, die dem Provider seit Anfang August 2020 Zeit bekannt war, best\u00e4tigt. Der Kontakt von heise fand am 31. August 2020 statt, da war die Schwachstelle noch nicht geschlossen.<\/p>\n Inzwischen hat Vodafone die Schwachstelle geschlossen und schreibt gegen\u00fcber heise 'Hinweise \u00fcber Missbrauchsf\u00e4lle oder Auff\u00e4lligkeiten aus dieser geschlossenen potenziellen Schwachstelle' l\u00e4gen nicht vor. Weitere Details lassen sich hier nachlesen<\/a>.<\/p>\nDie Redaktion von heise wurde von dem Nutzer Daniel Werner (Quality Assurance Engineer) auf die Schwachstelle aufmerksam<\/a> gemacht. Der Nutzer entdeckte Anfang September 2020 eine M\u00f6glichkeit, beliebigen JavaScript-Code in die Vodafone-Website zu injizieren. Die Redaktion von heise hat die Angaben des Nutzers dann \u00fcberpr\u00fcft und konnte das Problem auf vodafone.de best\u00e4tigen.<\/p>\n
JavaScript-Injection in Suchanfragen<\/h2>\n
Vodafone reagiert nicht<\/h2>\n