Checkmarx enttarnt gefährliche Schwachstellen im Online-Portal Meetup.com
05.08.2020
IT, NewMedia & Software
Das Security Research Team von Checkmarx hat zwei eklatante Sicherheitslücken bei der Online-Plattform Meetup.com entdeckt - einem Portal, das weltweit Millionen von Menschen nutzen, um persönliche oder virtuelle Treffen zu organisieren. Die von Checkmarx dokumentierten Schwachstellen erlaubten es Angreifern, sich bei Meetup-Events zunächst Co-Organisator-Rechte zu sichern und dann Zahlungen der Teilnehmer auf beliebige Paypal-Konten umzuleiten. Die Sicherheitsexperten von Checkmarx haben den Betreiber über die Schwachstellen informiert, der sie inzwischen behoben hat.
Das Checkmarx Team hatte Meetup.com als einen von mehreren Online-Diensten unter die Lupe genommen und war dabei auf zwei weit verbreitete und äußerst gefährliche Schwachstellen gestoßen: Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Die Kombination der beiden Schwachstellen ermöglichte es den Security-Experten, Scripts in das Chat-Fenster eines Meetup-Events zu injizieren und so die volle Kontrolle über virtuelle Veranstaltungen zu erlangen. Hatte sich das Research-Team erst Organisator-Rechte gesichert, konnte es alle Privilegien nutzen, die sonst nur dem Veranstalter vorbehalten sind.
Gängige, aber gefährliche Sicherheitslücken
Nachdem sich das Experten-Team ohne jegliche Autorisierung oder Genehmigung von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator befördert hatte, führte es den Angriff im Rahmen eines Proofs-of-Concept noch eine ganze Stufe weiter: Unter Verwendung derselben Technik entwickelten die Experten ein zweites Skript, mit dem sich das für Teilnehmerzahlungen hinterlegte PayPal-Konto ändern ließ. Der rechtmäßige Organisator hätte von dieser Manipulation nichts bemerkt, da das System ihn nicht über die Änderung der E-Mail-Adresse informiert hätte - sämtliche Zahlungen wären unbemerkt an den Hacker geflossen.
Besonders kritisch: Da die Chat-Funktion standardmäßig in allen Veranstaltungen verfügbar ist, waren potenziell auch alle Meetups von der Schwachstelle betroffen.
Sicherheitslecks geschlossen
Die Sicherheitsexperten von Checkmarx haben die identifizierten Schwachstellen umfassend dokumentiert und anschließend die Meetup.com-Plattform über das enorme Risikopotenzial informiert. Der Betreiber nahm die Hinweise ernst, übernahm die Verantwortung und schloss die Sicherheitslücken.
Checkmarx sieht es als eine der wichtigsten Aufgaben eines Security-Anbieters, das Bewusstsein für die Software-Security zu schärfen und aufzuzeigen, welche Gefahr von unsicheren Anwendungen ausgeht. Wenn die Entwickler mit bekannten Schwachstellen wie Cross-Site Scripting oder Cross-Site Request Forgery vertraut sind und die etablierten Best Practices für sicheres Coding einhalten, lässt sich das Risikopotenzial bereits nachhaltig minimieren. Alternativ sind auf dem Markt heute auch durchgängige Software-Security-Plattformen erhältlich, die den Anwendungscode über den gesamten Entwicklungszyklus analysieren und sicherheitsrelevante Fehler im Code bereits in der Entwicklungsphase identifizieren und beheben.
Checkmarx Meetup.com Software Schwachstelle XSS CSRF Security Research Events Community PayPal Zahlungen Script Plattform Chat
https://www.checkmarx.com/
Checkmarx Ltd.
c/o: Neue Straße 7 91088 Bubenreuth
Pressekontakt
http://www.h-zwo-b.de/
H zwo B Kommunikations GmbH
Neue Straße 7 91088 Bubenreuth
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Dr. Christopher Brennan
09.10.2020 | Dr. Christopher Brennan
Checkmarx präsentiert neue GitHub Action für mehr Sicherheit bei der Code-Entwicklung
Checkmarx präsentiert neue GitHub Action für mehr Sicherheit bei der Code-Entwicklung
16.09.2020 | Dr. Christopher Brennan
Checkmarx präsentiert GitLab Integration zur Vereinfachung von DevSecOps-Workflows
Checkmarx präsentiert GitLab Integration zur Vereinfachung von DevSecOps-Workflows
05.06.2020 | Dr. Christopher Brennan
Neue Checkmarx-Lösung für die Software-Composition-Analyse beschleunigt die Behebung von Open-Source-Schwachstellen
Neue Checkmarx-Lösung für die Software-Composition-Analyse beschleunigt die Behebung von Open-Source-Schwachstellen
13.05.2020 | Dr. Christopher Brennan
Checkmarx erzielt höchste Wertung für den DevOps/DevSecOps Use Case im Gartner Report Critical Capabilities for Application Security Testing 2020
Checkmarx erzielt höchste Wertung für den DevOps/DevSecOps Use Case im Gartner Report Critical Capabilities for Application Security Testing 2020
05.05.2020 | Dr. Christopher Brennan
Checkmarx ist Leader im Gartner Magic Quadrant für Application Security Testing 2020
Checkmarx ist Leader im Gartner Magic Quadrant für Application Security Testing 2020
Weitere Artikel in dieser Kategorie
19.04.2024 | Onapsis
Neuer Threat Report von Onapsis und Flashpoint: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %
Neuer Threat Report von Onapsis und Flashpoint: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %
19.04.2024 | SEO Werkstatt
Von der Vision zur Realität: Webdesign Konzeption und Umsetzung von Ideen!
Von der Vision zur Realität: Webdesign Konzeption und Umsetzung von Ideen!
19.04.2024 | FACTUREE – Der Online-Fertiger I cwmk GmbH
FACTUREE empfiehlt Bauteilfertigung und Oberflächenveredelung aus einer Hand
FACTUREE empfiehlt Bauteilfertigung und Oberflächenveredelung aus einer Hand
19.04.2024 | AC Süppmayer GmbH
AC Süppmayer GmbH und ThinkOwl Group geben strategische Partnerschaft zur gemeinsamen Entwicklung von KI-Lösungen bekannt
AC Süppmayer GmbH und ThinkOwl Group geben strategische Partnerschaft zur gemeinsamen Entwicklung von KI-Lösungen bekannt
18.04.2024 | eperi GmbH
Im öffentlichen Sektor mit Microsoft 365 E-Mail- und Kalenderdaten sicher arbeiten
Im öffentlichen Sektor mit Microsoft 365 E-Mail- und Kalenderdaten sicher arbeiten