Gerade sind Zedel und ich auf ein riesiges Sicherheitsloch bei westlotto.de gestoßen. Ich wollte ihn auf das sogenannte Superding aufmerksam machen, eine Sonderziehung, die am 04.11.2006 stattfindet. Also habe ich die URL dieser Sonderziehung in die Zwischenablage kopiert und per Instant Messenger an ihn verschickt, und im Gegenzug erhielt ich von ihm postwendend einen Screenshot zurück, der zeigt, wie er mit meiner Session auf meine Kosten spielen kann.

Na das ist ja echt mal ein echtes Superding!

Die Mißbrauchsmöglichkeiten sind mannigfaltig und reichen von Verzocken eventuell vorhandenen Accountguthaben über Verzocken größerer Summen (sofern der automatische Lastschrifteinzug aktiviert ist) bis hin zu Änderungen der hinterlegten Bankverbindung für Auszahlungen und Abruf vorhandener Guthaben auf fremde Girokonten. Aus Kundensicht wären solche Mißbräuche sehr schwierig nachzuweisen, für den Betreiber sind die Rechtsfolgen unabsehbar.

Selbstverständlich habe ich Westlotto von diesem eklatanten Sicherheitsmangel in Kenntnis gesetzt. Da es aber trotzdem nicht so einfach sein dürfte, die Sessions anderer Benutzer zu hijacken ohne daß diese einen Link samt SessionID verschicken (oder sich einen Trojaner einhandeln, der gezielt solche Lücken ausnutzen kann), sehe ich keinen Hinderungsgrund, diese Lücke zeitgleich hier zu publizieren.

Update 28.10.2006: Auch gute drei Tage nachdem ich westlotto.de auf die Existenz dieses schwerwiegenden Mangels in ihrem System hingewiesen habe, ist bis dato weder eine Reaktion erfolgt (weder eine Email noch ein Anruf) noch eine Korrektur des Problems am Webauftritt vorgenommen worden. Es scheint, als wären dem Unternehmen die Kontoinformationen seiner Kunden nicht wirklich wichtig.