Bereits im vergangenen Jahr berichteten wir über ein Datenleck bei Christie‘s, dem weltweit führenden Auktionshaus im Kunst- und Antiquitätenmarkt.
Damals wurden Bilder inklusive eingebetteter GPS-Koordinaten von Kunstgegenständen, die interessierte Verkäufer bei Christie’s hochgeladen hatten, öffentlich zugänglich. Wir empfahlen, die Webanwendung nach einer Risikoanalyse einer umfassenden Sicherheitsprüfung zu unterziehen.
Im Mai dieses Jahres konnte eine Ransomware-Gruppe auf umfangreiche Daten zugreifen. Diesmal handelte es sich um die Daten von Ausweisdokumenten, von denen Kunden zur Verifikation Fotos hochgeladen hatten. Die über 500.000 Datensätze wurden zwischenzeitlich auf RansomHub zum Verkauf angeboten.
zentrust partners wurden zu diesem Fall von verschiedenen Medien um eine Einschätzung der Sicherheitsmaßnahmen gebeten. Dabei sind wir auf ein neues, drittes Datenleck gestoßen…
Neues Datenleck
Nach dem Anlegen eines kostenfreien Kontos unter www.christies.com konnten Dritte die Daten von schätzungsweise über 500.000 Kunden einsehen. Dazu gehörten Namen, Adressen, Telefon- und Faxnummern. Neben Wohnanschriften waren auch Korrespondenz-, Liefer- und Rechnungsadressen frei einsehbar.
Aufgefallen ist uns dieses Problem, weil die Webseite zum Ändern der eigenen Anschrift im Hintergrund folgende (exemplarische) URL aufruft:
www.christies.com/mychristies/accountSettings-addressBookV2.aspx?AccountNo=12345678&…Die „AccountNo“ gibt dabei die eigene Account-Nummer an. Gab ein Angreifer nun statt der eigenen Account-Nummer die eines anderen Kunden ein, so antwortete der Webserver mit den Daten des anderen Kunden. Ohne jegliche Mühe konnten Dritte somit alle möglichen Account-Nummern durchlaufen und die Daten abspeichern.
Es handelt sich dabei um eine sogenannte „Insecure-Direct-Object-Reference“ (IDOR) und damit eine besonders einfach aufzuspürende Ausprägung des Sicherheitsmangels Nummer 1 „Broken-Access-Control“ aus den bekannten OWASP Top 10.
Christie’s antwortete einige Tage nach Kontaktaufnahme und versicherte, das Datenleck geschlossen zu haben. Beim Versuch, dies nachzuvollziehen, stießen wir jedoch unverzüglich auf ein neues, viertes Datenleck.
Datenleck No. 4
Wieder legten wir uns ein kostenfreies Kontos unter www.christies.com an. Diesmal offenbarte die Webanwendung gegenüber Dritten nicht nur erneut Namen und Adressen, sondern auch – sofern vom jeweiligen Kunden hinterlegt – deren Umsatzsteuer-Identifikationsnummer. Erneut handelte es sich dabei um eine IDOR-Schwachstelle, und erneut waren die Daten nicht gegen unberechtigten Zugang gesichert.
Inzwischen ist auch dieser Mangel nicht mehr ausnutzbar.
Angesichts der Tatsache, dass innerhalb eines Jahres bereits vier Datenlecks öffentlich bekannt wurden empfehlen wir, die technischen und organisatorischen Maßnahmen zur Datensicherheit sowie deren Implementierung für die Webanwendung dem Stand der Technik und dem Schutzbedarf der verarbeiteten Informationen anzupassen.
Olga Kronsteiner hat die Recherche zusammen mit Georg Pichler für Der Standard hier aufgeschrieben.