Sicherheit

Hackerone: IDOR-Schwachstelle gefährdet Einzelhändler und E-Commerce

Hackerone, führende Sicherheitsplattform für ethisch motivierte Hacker – die sogenannten White Hat Hacker –, warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR). Dabei handelt es sich um einen einfachen Fehler, der jedoch immer wieder zu finden ist und großes Bedrohungspotenzial aufweist. Wird diese Lücke ausgenutzt, können Angreifer Zugang zu sensiblen Daten oder Passwörtern erhalten und diese Informationen manipulieren. Auf Hackerone werden jeden Monat über 200 dieser Schwachstellen gefunden und sicher an Kunden gemeldet.

Bei Einzelhandels- und E-Commerce-Unternehmen machen allein die IDOR-Schwachstellen gewärtig bereits 15 Prozent der von Unternehmen an White-Hat-Hacker gezahlten Prämien aus. Aber auch in anderen Bereichen ist das Potenzial für Angreifer groß: IDOR-Schwachstellen stellen die größte Sicherheitslücke für Programme in den Branchen Behörden (18 %), Medizintechnik (36 %) und professionelle Dienstleistungen (31 %) dar.

Problematisch ist dabei insbesondere, dass IDORs nicht allein mit Hilfe von Tools erkannt werden können, sondern Kreativität und manuelle Sicherheitstests zur Identifizierung erfordern. Bei herkömmlichen Pentests können diese Schwachstellen folglich unentdeckt bleiben, es sei denn, ein Pentester prüft jeden möglichen Parameter in jedem Anfrageendpunkt.

Unternehmen sollten daher Gegenmaßnahmen ergreifen, um ihr Risiko zu minimieren. „IDORs zu vermeiden ist nur möglich, indem Unternehmen einen zuverlässigen Zugriffskontrollmechanismus aufbauen. Sie müssen hierzu die jeweils für ihr Szenario am besten geeignete Methode wählen, alle Zugriffe protokollieren und, wenn möglich, ein Audit mit einer Überprüfung der Post-Autorisierung durchführen“, sagt Hackerone-Hacker Manoel Abreu Netto, online besser bekannt als @manoelt.

Aber es gibt auch weitere Tipps, um die Gefährdung zu reduzieren:

  • Entwickler sollten die Anzeige von privaten Objektreferenzen wie Schlüsseln oder Dateinamen vermeiden
  • Die Validierung von Parametern sollte ordnungsgemäß implementiert werden
  • Die Verifizierung aller referenzierten Objekte sollte überprüft werden
  • Token sollten so generiert werden, dass sie nur dem Benutzer zugeordnet werden können und nicht öffentlich sind
  • Unternehmen sollten die Verwendung von UUIDs (Universally Unique IDentifier) anstelle von sequentiellen IDs unbedingt vermeiden, da UUIDs oft IDOR-Schwachstellen unentdeckt lassen

Weitere Details zu IDOR-Schwachstellen und was Unternehmen dagegen tun können, finden Sie im aktuellen Blogpost von Hackerone.

Über Hackerone

Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.

Firmenkontakt und Herausgeber der Meldung:

Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com

Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel