Ein kürzlich behoben Sicherheitslücke auf einer beliebten Plattform zur Unterstützung von Erstellern zeigt, wie selbst datenschutzorientierte Plattformen die privaten Informationen von Erstellern gefährden können.
Throne, gegründet im Jahr 2021, bezeichnet sich selbst als „einen vollständig sicheren Concierge-Wunschlistenservice, der als Vermittler zwischen Ihren Fans und Ihnen fungiert“. Throne behauptet, mehr als 200.000 Schöpfer zu unterstützen, indem es täglich Tausende ihrer Artikel auf der Wunschliste versendet und gleichzeitig die Privatsphäre der Privatadresse der Schöpfer schützt.
Die Idee ist, dass Online-Ersteller wie Streamer und Gamer eine Wunschliste mit Geschenken veröffentlichen können, die Unterstützer kaufen können, und Throne als Vermittler fungiert. „Ihre Fans zahlen für die Geschenke und wir kümmern uns um den Rest“, heißt es auf der Website. „Wir stellen sicher, dass die Zahlung verarbeitet wird, dass der Artikel gesendet wird und vor allem, dass Ihre privaten Informationen privat bleiben.“
Aber eine Gruppe gutgläubiger Hacker hat eine Schwachstelle gefunden, die diese Behauptung untergräbt und die privaten Privatadressen ihrer Ersteller-Benutzer offengelegt hat.
Eingeben Zerforschung, das deutsche Kollektiv von Sicherheitsforschern hinter seiner neuesten Entdeckung. Sie erinnern sich vielleicht an das Kollektiv vom Dezember, als es große Sicherheitslücken in der Social-Media-Alternative Hive fand und offenlegte, die durch den Exodus von Twitter unter dem neuen Eigentümer von Elon Musk an Popularität gewann. Hive fährt kurzzeitig herunter, um die Schwachstellen zu beheben gefunden von der Zerforschungdie es jedem ermöglichte, die Beiträge anderer zu ändern und auf die privaten Nachrichten anderer Personen zuzugreifen.
Zerforschung teilte Tech mit, dass sie die Schwachstelle entdeckt haben, wie das Unternehmen seine Datenbank, die auf Googles Firebase gehostet wird, zum Speichern von Daten einrichtet. Die Forscher sagten, dass die Datenbank versehentlich so konfiguriert wurde, dass jeder im Internet auf die darin enthaltenen Daten zugreifen kann, einschließlich Sitzungscookies für seine Amazon-Konten aus der Datenbank, die verwendet werden können, um in ein Konto einzubrechen, ohne das Passwort zu benötigen.
Sitzungscookies sind kleine Codeteile, die sich auf Ihrem Computer oder Gerät befinden, um Benutzer bei Apps und Websites angemeldet zu halten, ohne wiederholt ein Passwort eingeben oder sich mit Zwei-Faktor-Authentifizierung anmelden zu müssen. Da Sitzungscookies den Benutzer eingeloggt halten, können sie ein attraktives Ziel für Hacker sein, da sie verwendet werden können, um sich so anzumelden, als ob sie dieser Benutzer wären. Dadurch kann es auch schwieriger werden, zu erkennen, wenn jemand anderes als der Benutzer ein Session-Cookie missbraucht.
Mit diesen Amazon-Sitzungscookies stellten die Sicherheitsforscher fest, dass sie auf das Amazon-Konto von Throne zugreifen konnten, das zum Bestellen und Versenden von Geschenken von der Wunschliste eines Schöpfers verwendet wurde, ohne jemals ein Passwort zu benötigen. Die Forscher sagten, dass jeder mit denselben Sitzungscookies, praktisch den Schlüsseln zu Thrones Amazon-Konto, sich anmelden und auf Tausende von Bestellungen und die Namen und Adressen ihrer Ersteller zurückblicken könnte.
Die Zerforschung hat den Fehler letzte Woche in einem Videoanruf mit Tech demonstriert, sodass wir ihre Ergebnisse überprüfen konnten. Die Forscher zeigten uns die Tausenden von Bestellungen, die in den letzten Monaten über das Amazon-Konto von Throne aufgegeben wurden, und zeigten, dass die Namen und Adressen von Schöpfern, die Throne zu schützen behauptete, offengelegt wurden.
Das Forscherkollektiv meldete den Fehler noch am selben Tag an Throne. Throne hat den Fehler kurz darauf behoben und die Sicherheitslücke bestätigt ein Blogbeitrag veröffentlicht diese Woche und dankt der Zerforschung für ihre Ergebnisse.
„Ende März wurde eine Version von Throne ausgeliefert, die Firestore-Regeln falsch konfiguriert hatte. Dies ermöglichte es den Sicherheitsforschern, einige Daten zu lesen, die nicht hätten verfügbar sein sollen, wie die gesperrten IP-Adressen, die wir zum Zwecke der Betrugsprävention pflegen, und Sitzungscookies für eine kleine Untergruppe unserer Händlerkonten“, sagte Throne.
Doch für das Unternehmen bleiben Fragen offen. Throne sagt, es habe Netzwerkprotokolle verwendet, um festzustellen, dass „kein Risiko bestand und keine unbekannte Partei Daten eingesehen hat“. Die Zerforschung bestreitet diese Behauptung, da Throne das Kollektiv nicht nach ihren IP-Adressen gefragt hat, die das Unternehmen zur Untersuchung des Vorfalls verwenden könnte, während die Aktivität der Forscher ausgeschlossen wird.
Protokolle sind wichtig, da sie interne Ereignisse nachverfolgen, z. B. wer sich wann von wo aus anmeldet. Die Logik besagt, dass, wenn Sicherheitsforscher wie die Zerforschung den Fehler gefunden haben, es sein könnte, dass böswillige Akteure ihn möglicherweise auch entdeckt haben. Es ist nicht klar, ob jemand anderes auf Throne-Daten zugegriffen oder diese exfiltriert hat oder ob Throne technisch in der Lage ist, festzustellen, welche Daten eingesehen wurden.
Throne behauptet in seinem Blogbeitrag auch, dass ein namentlich nicht genannter deutscher Datenschutzexperte „bestätigt hat, dass kein Datenrisiko besteht“, was keinen Sinn ergibt, da die Zerforschung das Gegenteil bewiesen hat.
Als er um einen Kommentar gebeten wurde, wiederholte Patrice Becker, Mitbegründer von Throne, einen Großteil des Blog-Beitrags von Throne in Textbausteinen, lehnte es jedoch ab, unsere spezifischen Fragen zu beantworten oder den Namen des mutmaßlichen Datenschutzexperten aus seinem Blog-Beitrag anzugeben.
Becker hat die Ergebnisse der Zerforschung oder die Offenlegung der Privatadressen der Urheber auf Nachfrage nicht bestritten.