Die Sicherheitsforscher von Checkmarx [1] hatten "meetup.com" [2] als einen von mehreren Onlinediensten unter die Lupe genommen und stoßen dabei auf zwei weitverbreitete Schwachstellen: Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). Mithilfe der Schwachstellen konnte das Research Team laut Eigenaussage, Scripts in das Chat-Fenster eines Meetup-Events injizieren und so die volle Kontrolle über virtuelle Veranstaltungen erlangen.

Nachdem sich das Team ohne jegliche Autorisierung oder Genehmigung von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator befördert haben soll, führte es den Angriff im Rahmen eines Proof of Concept noch eine ganze Stufe weiter. Unter Verwendung derselben Technik soll es den Sicherheitsforschern gelungen sein, ein zweites Skript zu entwickeln, mit dem sich das für Teilnehmerzahlungen hinterlegte PayPal-Konto ändern ließ. Der rechtmäßige Organisator habe von dieser Manipulation nichts bemerkt, da das System ihn nicht über die Änderung der E-Mail-Adresse informierte – sämtliche Zahlungen seien unbemerkt an den Hacker geflossen.

Das Sicherheitsteam von Checkmarx hat die identifizierten Schwachstellen dokumentiert [3] und habe anschließend die meetup.com-Plattform über das Risikopotenzial informiert. Der Betreiber soll die Sicherheitslücken inzwischen geschlossen haben.

jm