Das Security Research Team von vpnMentor hat kürzlich eine große Sicherheitslücke entdeckt.

Tausende PayMyTab Kunden Belege waren offen zugänglich für jedermann.

AWS S3 buckets

Der große Cloud Anbieter AWS bietet einen Dienst namens S3 (Simple Storage Service) an. S3 ist sicherlich der am meisten genutzt Cloud Speicherdienst.

Wenn man eine Datei in einem Ordner („Bucket“ genannt) speichert, so kann man eine Zugangsregel hinterlegen. Wird keine Zugangsregel hinterlegt, so kann jeder auf die Datei zugreifen, indem er einfach den Namen der Datei in seine Broserleiste eingibt.

PayMyTabs Nutzung von S3

PayMyTab nutzt S3 zum Speichern der Kunden Belege und gibt Kunden die Möglichkeit auf ihre Belege zuzugreifen indem PayMyTab einen Link an den Kunden per Email schickt.

Dies ist ein häufig genutztes Pattern und funktioniert sehr gut solange man sicherstellt, dass ein Kunde auch nur auf seine eigenen Dateien zugreifen darf.

In manchen Fällen (so wie bei PayMyTab) kann jeder auf jede Datei in dem S3 Bucket zugreifen solange er den Namen der Datei kennt. Dies ist eine akzeptierbare Lösung solange die Dateinamen kryptisch sind und unmöglich zu erraten.

Beispiel:

Wenn man eine Email erhält mit einem Link zu einer Datei receipt-4711.pdf warum sollte man dann nicht auch probieren auf die Datei receipt-4712.pdf zuzugreifen?

Auswirkungen der Sicherheitslücke

Es wurde berichtet, dass die folgenden Informationen in den veröffentlichen Dokumenten vorhanden sind:

  • Name des Kunden
  • Email Adresse oder Mobilfunknummer
  • Die letzten 4 Ziffern der Kreditkartennummer
  • Die bestellten Speisen und Getränke
  • Datum, Uhrzeit, Ort und Name des besuchten Restaurants
Credit: vpnMentor

Es ist unklar ob die Daten schon von anderen heruntergeladen wurden bevor vpnMentor die Sicherheitslücke veröffentlichte.

Sehr wahrscheinlich werden diese Daten bereits zwischen Hackern und Cyberkriminellen getauscht.

Wenn Sie PayMyTab zwischen 2. Juli 2018 und Ende Oktober 2019 genutzt haben empfehlen wir Ihnen einen Anwalt zur Durchsetzung ihrer Rechte zu kontaktieren.

Kommentar hinterlassen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.