Wie man als Agentur bei einem Hinweis auf ein Sicherheitsleck nicht reagieren sollte: gar nicht.

Am Wochenende habe ich mir die Website einer österreichischen Agentur angesehen und bin dabei zufällig auf ein Sicherheitsproblem gestoßen. Rief man die Seite über eine Google-Suche auf und navigierte im Menü, erschien ein „Browser-Check“, der mit „Continue“ bestätigt werden musste. Anfangs dachte ich, das sei ein genauso nerviges Prüfsystem, wie es zB Cloudflare oder diverse Website-Plugins (zB Bad Behavior) einsetzen, um menschliche Seitenbesucher von Bots zu trennen. Ein Klick auf Continue führte mich jedoch auf die Domain test0.com.

Ich führte die obigen Schritte noch einmal durch, um diese verdächtige Weiterleitung abermals erleben zu können, doch geschah diesmal nichts; ich konnte ohne dubiose Weiterleitungen auf der Seite navigieren. Bei einem Blick auf die von der Seite verwalteten Ressourcen fiel mir aber ein Cookie mit dem Dateinamen „referrerRedirectCookie“ auf, das für eine mit WordPress betriebene Seite untypisch war. Ich löschte das Cookie und klickte auf einen Menüpunkt.

Browser Check. Continue. domain55.com. Damit war sicher: Die Seite war Opfer von Malware geworden. Später konnte ich das Skript, welches die Weiterleitung verursachte, identifizieren: Die Seite war einer CookieBomb (hier Teil 2) ausgesetzt. Ich testete das Verhalten noch ein paar Mal und wurde wahllos auf verschiedene Domains weitergeleitet. Domain aufrufen, referrerRedirectCookie löschen, ein Klick auf einen Link, Browser Check, Continue, Spam/Glücksspiel/usw.

Ich rief bei der Agentur an, um sie auf dieses Problem aufmerksam zu machen. Ich erreichte zwar nicht die Geschäftsführung direkt, aber immerhin jemandem aus dem Projektmanagement. Das Telefonat konnte eigenartiger nicht sein: Ich führte die Person am Telefon geduldig durch die Schritte, die nötig waren, um das Problem aufzuzeigen und die Situation für einen Erstbesucher darzustellen. Mein Gesprächspartner führte die Schritte aus und konnte meine Beobachtungen bestätigen: Sofern man das referrerRedirectCookie löscht, führt der nächste Klick auf einen Link letztlich auf eine Spam- oder Glücksspiel-Site. Aber die Antwort, die ich daraufhin am Telefon bekam, wunderte mich dann doch.

„Ja, äh, wer löscht schon seine Cookies?“

Ich war baff. Ich erkläre einer Person eine offene und bereits ausgenützte Sicherheitslücke auf der Website ihrer Firma.

„Das Problem sind nicht die Cookies. Sondern: Sie haben da eine Sicherheitslücke in ihrer Website.“
„Ja, okay. Ich geb’s weiter.“

Schweigen.

„Auf Wiederhören!“

Kein Danke. Kein Super, dass Sie uns darauf aufmerksam machen! Kein Dürfen wir Sie zum Essen einladen? Kein Wie war nochmal ihr Name? Kein gar nichts.

Die Agentur ist zwar auf PR spezialisiert, prahlt aber auf der Seite „Leistungen“ mit ihrer Kompetenz in Sachen Web. Ab sofort gilt umso mehr mein 2009 aufgestellter Leitsatz: Kostenlose Hinweise gibt es nicht mehr. Stattdessen nur noch kostenpflichtige Consultingdienstleistungen, in dem Fall konkret: Security-Audits.