Schwere Sicherheitslücke bei Trusted Shops

Die Homepage von Trustedshops wurde gehackt. Die Downloadmöglichkeit im unteren Teil des Bildschirms führt auf einen beliebigen Fremdserver.
Die Homepage von Trustedshops wurde gehackt. Die Downloadmöglichkeit im unteren Teil des Bildschirms führt auf einen beliebigen Fremdserver.

04.08.14 – Stellen Sie sich vor, der TÜV hätte eigene Autos. Und diese Autos hätten soviel Rost angesetzt, dass sie eigentlich nicht mehr fahrfähig sind. Der TÜV würde damit aber trotzdem weiter herum fahren. Genau das ist jetzt im Internet passiert: Die Firma, die die Sicherheit von Internet-Shops in Deutschland, aber auch im Ausland überprüft, hatte über mehrere Wochen eine schwere Sicherheitslücke auf ihrer eigenen Seite.

Das kleine blaue „e“ auf gelben Grund im schwarz umrandeten Kreis – jeder, der im Internet Einkäufe erledigt, kennt das. Es ist das Siegel von Trusted Shops, mit dem bescheinigt wird, dass der Nutzer dieser Einkaufsseite vertrauen kann.

Ein 19 jähriger Hacker aus Wien hat nun festgestellt, dass die Internetseite von Trusted Shops den eigenen Sicherheitsstandards widerspricht. Aria Akhavan:

Es ist einfach nicht gut für eine Seite, die wirklich Zertifikate ausstellt für andere Seiten, dass sie sicher sind, das die einfach eine Lücke haben, die so schwerwiegend ist.

Exklusiv für MDR INFO zeigt der Hacker, wo dieses heftige Problem steckt. Nur durch das Verändern der URL – der Adresse des Internetangebots – hinter der Endung „.de“ kann Trusted Shops zum Sicherheitsrisiko werden.

Genau. Man könnte theoretische einen direkten Link, einen direkten Download-Link, einfügen und der würde dann heruntergeladen werden.

Der 19-Jährige probiert es aus und tatsächlich erscheint im unteren Bereich der Seite von Trusted Shops der Download einer ausführbaren Datei. Diese Datei war vorher von Aria Akhavan so präpariert worden, dass sie keinen Schaden stiften kann. Sie hätte aber auch ein Schadprogramm enthalten können. Der Horror eines jeden IT-Sicherheitsexperten, denn diese Adresse könnte per Spam-Mail weltweit an Internethändler verschickt werden, beispielsweise mit dem Angebot einer neuen Sicherheitssoftware. Da der Link dann mit dem Namen von Trusted Shops beginnt, würde kein Internet-Experte dahinter ein Schadprogramm vermuten.

Aria Akhavan informierte Trusted Shops bereits am 8. Juli 2014 über das Problem.

Also, ich habe bis her weder ein Feedback noch eine Lösung gesehen.

Auf Nachfrage von MDR INFO teilte Trusted Shops zunächst mit, die Sicherheitslücke sei geschlossen. Später musste sich die Firma selbst korrigieren. Pressesprecher Olaf Groß:

Ja, der aktuelle Stand ist, das über unsere Funktion ein Missbrauch theoretisch möglich wäre, in dem möglicherweise Schadsoftware verschickt wird. Da arbeitet unser IT-Team momentan mit Hochdruck dran, diesem Missbrauch einen Riegel vorzuschieben und zwar nachhaltig und eben auch komplett.

Für Nutzer ist es bis zur Problemlösung wichtig, Links, die auf Trusted Shops verweisen, mit Vorsicht zu betrachten.

Author: Michael Voß