Sicherheitslücke:
Wie ich einen fremden
Flattr-Account gestohlen habe

Während erste Blogs und Inhalteanbieter den neuen Micropaymentdienst Flattr in der Beta-Version ausprobieren, läuft noch nicht alles rund: Bis Mittwochnachmittag war es möglich, fremde Flattr-Konten zu kapern.

Wie berichtet hat der neue Micropaymentdienst Flattr in dieser Woche seine geschlossene Beta-Phase ausgeweitet. In den Kommentaren auf unseren Artikel wurde mehrfach angemerkt, dass technisch noch nicht alles hundertprozentig ausgereift ist – was angesichts des Beta-Stadiums auch nicht verwundern sollte.

netzwertig.com-Leser Matthias Jakel hat sich in den letzten Tagen intensiv mit Flattr befasst und ist dabei auf eine sehr kritische Sicherheitslücke gestoßen. Matthias ist Web-Entwickler und Gründer von iSwapp. Er beschäftigt sich unter anderem mit Sicherheitslücken in Webanwendungen. Ihr findet ihn bei Twitter. Es folgt sein Bericht, wie es ihm gelang, einen fremden Flattr-Account zu kapern.

Flattr besaß bis Mittwochnachmittag eine Sicherheitslücke, die es erlaubte, mit Hilfe einer manipulierten Website die Accounts von Flattr-Nutzern zu übernehmen, ohne dass diese davon etwas mitbekamen.

Nach anfänglichem Testen des Flattrns lief mir durch Zufall eine XSRF-Sicherheitslücke (Cross Site Request Forgery) über den Weg, die es erlaubte, mit Hilfe einer manipulierten Website auf einer anderen Site Aktionen auszuführen, ohne dass der Nutzer das wollte oder davon etwas mitbekam. Diese Sicherheitslücke war bei Flattr in der „E-Mail-Addresse ändern“-Funktion vorhanden. Ich testete den Vorgang mit Martin von netzwertig.com.

Durch Martins Besuch auf meiner manipulierten Website wurde in seinem Flattr-Konto eine neue E-Mail-Adresse eingetragen, die ich zuvor frei definieren konnte. Daraufhin versendete Flattr an diese Adresse eine Mail mit einem Aktivierungslink. Das Problem war, dass der Aktivierungslink nur gültig war, wenn man ihn mit dem dazugehörigen Flattr-Konto aufrief (in diesem Fall also mit Martins Konto) und eingeloggt war.

Also habe ich Martin während seines Besuchs auf meiner manipulierten Site mittels AJAX dazu gebracht, im Hintergrund den Link aus der E-Mail zu öffnen und somit die neue E-Mail-Adresse zu bestätigen – ohne dass er davon etwas mitbekam. Anschließend konnte ich mit der von mir gesetzten E-Mail-Addresse die “Passwort vergessen”-Funktion auslösen und bekam ein neues Passwort generiert, mit welchem ich mich in Martins Konto einloggen konnte.

Der Prozess der Kontenübernahme dauerte aufgrund eines verzögerten Versands der Aktivierungsmail etwa 30 Sekunden. Über diesen Zeitraum musste ich Martin dazu bringen, auf meiner manipulierte Website zu bleiben. Mit einem eingebetteten YouTube-Video aber stellt so etwas keine wirkliche Schwierigkeit dar.

Nachdem ich Flattr am Mittwochvormittag kontaktiert hatte, wurde die Sicherheitslücke binnen weniger Stunden geschlossen.

Mehr lesen

Linkwertig: Bing, Flattr, Twitter, WiMP

3.5.2012, 0 KommentareLinkwertig:
Bing, Flattr, Twitter, WiMP

Tim Pritlove berichtet über seine Erfahrungen mit Flattr, Bing wird minimalistischer als Google und mehr.

Follow-Funktion und Social Feed: Flattr wird zum sozialen Netzwerk

1.5.2012, 2 KommentareFollow-Funktion und Social Feed:
Flattr wird zum sozialen Netzwerk

Der soziale Micropaymentdienst Flattr erweitert sein Angebot um eine Follow-Funktion und einen Stream mit Empfehlungen der Kontakte. Damit avanciert das Startup zu einem sozialen Netzwerk rund um Onlineinhalte.

Kooperation mit Socialvest: Onlineshops übernehmen  die Flattr-Rechnung

5.4.2012, 6 KommentareKooperation mit Socialvest:
Onlineshops übernehmen die Flattr-Rechnung

Der soziale Micropaymentdienst Flattr hat eine spannende Kooperation mit dem US-Startup Socialvest vereinbart: Nutzer, die in einem von hunderten führenden Onlineshops einkaufen, erhalten einen prozentualen Anteil des Preises als Flattr-Guthaben.

Follow-Funktion und Social Feed: Flattr wird zum sozialen Netzwerk

1.5.2012, 2 KommentareFollow-Funktion und Social Feed:
Flattr wird zum sozialen Netzwerk

Der soziale Micropaymentdienst Flattr erweitert sein Angebot um eine Follow-Funktion und einen Stream mit Empfehlungen der Kontakte. Damit avanciert das Startup zu einem sozialen Netzwerk rund um Onlineinhalte.

Kostenpflichtige Inhalte: Googles Bezahlschranke  One Pass ist Geschichte

21.4.2012, 0 KommentareKostenpflichtige Inhalte:
Googles Bezahlschranke One Pass ist Geschichte

Anfang 2011 präsentierte Google mit One Pass ein System, das Verlagen die Möglichkeit bot, ihre Inhalte hinter einer Bezahlschranke zu verstecken. Doch die Rechnung ging nicht auf: Der Dienst wird eingestellt.

Kooperation mit Socialvest: Onlineshops übernehmen  die Flattr-Rechnung

5.4.2012, 6 KommentareKooperation mit Socialvest:
Onlineshops übernehmen die Flattr-Rechnung

Der soziale Micropaymentdienst Flattr hat eine spannende Kooperation mit dem US-Startup Socialvest vereinbart: Nutzer, die in einem von hunderten führenden Onlineshops einkaufen, erhalten einen prozentualen Anteil des Preises als Flattr-Guthaben.

1 Kommentar

  1. smeiko
    schrieb am 29. April 2010 um 10:11 Uhr (#)

    Sei froh dass der gehackte Account nicht Apple gehört ;)

    Jason Chen lässt grüßen

Diesen Artikel kommentieren

Wir sind sehr an einer offenen Diskussion interessiert, behalten uns aber vor, beleidigende Kommentare sowie solche, die offensichtlich zwecks Suchmaschinenoptimierung abgegeben werden, zu editieren oder zu löschen. Mehr dazu in unseren Kommentarregeln.