Meldung

Schwachstellen auf meetup.com entdeckt

Das Research Team von Checkmarx hat zwei Sicherheitslücken auf der Onlineplattform "meetup.com" entdeckt – einem Portal, um persönliche oder virtuelle Treffen zu organisieren. Mithilfe der Schwachstellen könne ein Angreifer sich bei Meetup-Events zunächst Co-Organisatorrechte sichern und dann Zahlungen der Teilnehmer auf beliebige PayPal-Konten umleiten.
Die Sicherheitsforscher von Checkmarx [1] hatten "meetup.com" [2] als einen von mehreren Onlinediensten unter die Lupe genommen und stoßen dabei auf zwei weitverbreitete Schwachstellen: Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Mithilfe der Schwachstellen konnte das Research Team laut Eigenaussage, Scripts in das Chat-Fenster eines Meetup-Events injizieren und so die volle Kontrolle über virtuelle Veranstaltungen erlangen.

Nachdem sich das Team ohne jegliche Autorisierung oder Genehmigung von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator befördert haben soll, führte es den Angriff im Rahmen eines Proof of Concept noch eine ganze Stufe weiter. Unter Verwendung derselben Technik soll es den Sicherheitsforschern gelungen sein, ein zweites Skript zu entwickeln, mit dem sich das für Teilnehmerzahlungen hinterlegte PayPal-Konto ändern ließ. Der rechtmäßige Organisator habe von dieser Manipulation nichts bemerkt, da das System ihn nicht über die Änderung der E-Mail-Adresse informierte – sämtliche Zahlungen seien unbemerkt an den Hacker geflossen.

Das Sicherheitsteam von Checkmarx hat die identifizierten Schwachstellen dokumentiert [3] und habe anschließend die meetup.com-Plattform über das Risikopotenzial informiert. Der Betreiber soll die Sicherheitslücken inzwischen geschlossen haben.
6.08.2020/jm

Tipps & Tools

Neue Security-Herausforderungen durch IoT [29.09.2020]

Das Internet der Dinge ist für viele Unternehmen in Deutschland sowohl eine Chance als auch ein Risiko, so das Ergebnis einer aktuellen Studie im Auftrag von Palo Alto Networks. Einerseits ermöglicht ein hoher Vernetzungsgrad eine Effizienzsteigerung, zunehmende Automatisierung, bessere Datennutzung und neue Geschäftsmodelle. Gleichzeitig aber stellt die wachsende Popularität des IoT für Unternehmen und ihre IT-Abteilungen eine wachsende Herausforderung für die Daten- und IT-Sicherheit dar. [mehr]

In Kürze versandbereit: Sonderheft Collaboration [28.09.2020]

Die unternehmensweite Zusammenarbeit ist unter den aktuellen Umständen schwieriger als je zuvor. Das notwendige Know-how bieten wir in unserem zweiten Sonderheft 2020 "Collaboration – Datenaustausch und Kommunikation in Microsoft-Infrastrukturen". Hierin erfahren Sie, wie Sie Ihre Collaboration-Infrastruktur gekonnt einrichten und wie der Datenaustausch mit OneDrive sowie die Aufgaben- und Projektverwaltung mit Microsoft Teams gelingen. Abonnenten, die noch bis 29. September auf das All-Inclusive-Abo upgraden, erhalten das Sonderheft für nur 16 Euro inklusive. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen