Meldung

Schwachstellen auf meetup.com entdeckt

Das Research Team von Checkmarx hat zwei Sicherheitslücken auf der Onlineplattform "meetup.com" entdeckt – einem Portal, um persönliche oder virtuelle Treffen zu organisieren. Mithilfe der Schwachstellen könne ein Angreifer sich bei Meetup-Events zunächst Co-Organisatorrechte sichern und dann Zahlungen der Teilnehmer auf beliebige PayPal-Konten umleiten.
Die Sicherheitsforscher von Checkmarx [1] hatten "meetup.com" [2] als einen von mehreren Onlinediensten unter die Lupe genommen und stoßen dabei auf zwei weitverbreitete Schwachstellen: Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Mithilfe der Schwachstellen konnte das Research Team laut Eigenaussage, Scripts in das Chat-Fenster eines Meetup-Events injizieren und so die volle Kontrolle über virtuelle Veranstaltungen erlangen.

Nachdem sich das Team ohne jegliche Autorisierung oder Genehmigung von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator befördert haben soll, führte es den Angriff im Rahmen eines Proof of Concept noch eine ganze Stufe weiter. Unter Verwendung derselben Technik soll es den Sicherheitsforschern gelungen sein, ein zweites Skript zu entwickeln, mit dem sich das für Teilnehmerzahlungen hinterlegte PayPal-Konto ändern ließ. Der rechtmäßige Organisator habe von dieser Manipulation nichts bemerkt, da das System ihn nicht über die Änderung der E-Mail-Adresse informierte – sämtliche Zahlungen seien unbemerkt an den Hacker geflossen.

Das Sicherheitsteam von Checkmarx hat die identifizierten Schwachstellen dokumentiert [3] und habe anschließend die meetup.com-Plattform über das Risikopotenzial informiert. Der Betreiber soll die Sicherheitslücken inzwischen geschlossen haben.
6.08.2020/jm

Tipps & Tools

Neue Security-Herausforderungen durch IoT [29.09.2020]

Das Internet der Dinge ist für viele Unternehmen in Deutschland sowohl eine Chance als auch ein Risiko, so das Ergebnis einer aktuellen Studie im Auftrag von Palo Alto Networks. Einerseits ermöglicht ein hoher Vernetzungsgrad eine Effizienzsteigerung, zunehmende Automatisierung, bessere Datennutzung und neue Geschäftsmodelle. Gleichzeitig aber stellt die wachsende Popularität des IoT für Unternehmen und ihre IT-Abteilungen eine wachsende Herausforderung für die Daten- und IT-Sicherheit dar. [mehr]

Zunehmende Angriffe auf Linux-Systeme [25.09.2020]

Viele Unternehmen setzen Linux ein, da das Betriebssystem mehr Sicherheit als kommerzielle Angebote bieten soll. Diese Prämisse relativieren jetzt Securtiy-Experten von Kaspersky und berichten von immer mehr APT-Angriffen auf Linux-Server und -Workstations. [mehr]

Fachartikel

Im Test: FirstWare DynamicGroup 2020 [28.09.2020]

Das Windows-AD knüpft Berechtigungen ausschließlich an Gruppen. Die Rechtevergabe im Dateisystem anhand der Organisationseinheiten ist dem Betriebssystem unbekannt, obwohl dies eine sehr hilfreiche Funktion darstellen würde. FirstWare DynamicGroup automatisiert die Verwaltung von Gruppen im Active Directory und sortiert Benutzer dynamisch basierend auf OUs sowie Attributen in Gruppen ein. IT-Administrator hat das Tool getestet und war von seiner Flexibilität begeistert. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen