Logo von 3Dsupply

Der vor allem bei Spielern und generell versierten Computernutzern beliebte Online-Shop 3Dsupply wurde am 30.12.09 zwischen 0 und 4 Uhr Opfer eines Hacks. Laut einer E-Mail an die registrierten Kunden des Shops verschafften sich die Angreifer per SQL-Injection Zugang zu Teilen der Datenbank, hätten aber allenfalls Nicknames und E-Mailadressen der Nutzer abfragen können. Außerdem konnten sich die Angreifer im Admin-Bereich des Shops einloggen und stellten spaßeshalber ein T-Shirt mit der Aufschrift “I hacked 3Dsupply and all i got was this lousy t-shirt” ein, welches immer noch im Shop zu sehen ist.

Die Betreiber gehen des Weiteren davon aus, dass es sich bei der Attacke um ein “Proof of Conecpt” handelte – die Hacker also keinen Schanden anrichten, sondern nur auf die bestehende Sicherheitslücke hinweisen wollten.  Trotzdem hat 3Dsupply sicherheitshalber den Adminlogin geändert und alle Benutzerkonten gelöscht.

Das jedoch war nicht der einzige Sicherheitsmängel – kurz nach diesem Vorfall wurde eine Cross-Site-Scripting-Lücke entdeckt, durch die es möglich gewesen wäre Cookies, respektive Zugangsdaten, von Benutzern zu stehlen. Nach dem 3Dsupply darüber unterrichtet wurde gab es einen Fix auch dieser Sicherheitslücke.

Im Februar soll dann auch noch ein Relaunch des gesamten Shop-Systems stattfinden, bei dem absolut keine Injections möglich sein sollen – hoffen wir, dass 3Dsupply hält, was es verspricht.

(Danke an epiphora für den Tipp)