WPML is eines der beliebtesten WordPress Plugins für Mehrsprachigkeit.

Unser Security Research Team bei WaspCloud hat kürzlich ein großes Datenleck entdeckt.

Hierbei wurden bis zu 5 Mio Datensätze ungewollt veröffentlich.

Details des Datenlecks

WPML bietet seinen Kunden die Möglichkeit ihre Rechnungen im Kundenportal anzuschauen.

Die Kunden werden hierbei auf eine URL geleitet die ähnlich wie folgt endet: /?order=4711

Sobald man eine andere Order-ID in der Bowserleiste eingibt erhält man die Rechnung der entsprechenden Order. Scheinbar völlig unabhängig ob diese Rechnung zum angemeldeten Kunden passt oder nicht.

Wir waren in der Lage Rechnungen zwischen den Rechnungsnummer 220 000 (Bestelldatum September 2013) und 5 138 679 (Bestelldatum Dezember 2019) und anzuschauen. Es waren aber nicht alle Rechnung im genannten Zeitraum sichtbar. Noch ist unklar, warum die meisten Rechnungen sichtbar waren aber manche nicht.

Die Kunden Rechnungen beinhaltetet z.B.:

  • Vollständiger Name des Kunden
  • Email Adresse
  • Firmenname (falls zutreffend)
  • USt-ID (falls zutreffend)
  • Bestell Details (WPML Abo)
  • Bestell Datum
  • Bezahlter Preis
  • Zahlungsmethode (wie z.B. PayPal, 2Checkout, etc.)

Beispiel Rechnung

Hier eine Beispiel-Rechnung (Kunden Daten wurden von uns unkenntlich gemacht):

Reaktionen

Wir haben das Datenleck am 16. Dezember 2019 entdeckt.

Für uns ist es wichtig ein gefundenes Datenleck zunächst zu validieren und die Auswirkungen zu verstehen bevor wir die betroffenen Parteien informieren. Für diesen Zwecke extrahieren und analysieren wir Beispiel-Datensets, welche wir nach Abschluss unsere Research Tätigkeit wieder löschen.

Bei dem aktuellen Fall waren wir in der Lage WPML bereits am selben Tag zu über die Sicherheitslücke zu informieren.

WPM reagierte vorbildlich und hat bereits nach wenigen Stunden die komplette Domain blockiert.

Warum wir die Sicherheitslücke entdeckt haben

Wir haben die Sicherheitslücke im Rahmen unserer Security Research Aktivitäten identifizieren können.

Unser Research Team ist rund um die Uhr auf der Suche nach Sicherheitslücken. Die daraus gewonnenen Erkenntnisse werden genutzt um unseren Klienten die best möglichen Security Beratung zu ermöglichen.

Als ethische Hacker fühlen wir uns verpflichtet die betroffene Firma zu informieren wenn wir Defizite in ihrer Online Security finden. Dies trifft insbesondere dann zu, wenn der Datenschutz-Verstoß sich auf sensible bzw. private Informationen bezieht.

However, this ethics also means that we have a responsibility towards the public. WPML customers must be aware of a data breach that affects them.

Jedoch bedeutet diese Ethik auch, dass wir eine Verantwortung haben gegenüber der Öffentlichkeit. WPML Kunden müssen sich über das Datenleck im Klaren sein.

Über uns

WaspCloud ist ein Cloud Security Research team. 

Wir entwickeln maßgeschneiderte Security Lösungen für unsere Klienten und machen das Web sicherer für alle Internet-Nutzer.

Kommentar hinterlassen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.