Hi Folks,

bei der Benutzung von Bricklink solltet ihr im Moment etwas Vorsicht walten lassen. Es gibt da einen Sicherheitshack:

https://www.bleepingcomputer.com/news/security/lego-bricklink-bugs-let-hackers-hijack-accounts-breach-servers/

Vie leG rüße
Andreas

Wer LEGO® verfälscht oder nachmacht, oder verfälschtes oder nachgemachtes LEGO® in Umlauf bringt, wird mit MegaBloks nicht unter fünf Jahren bestraft.

Laut dem Artikel wurden die Fehler bereits gefixt:

"The security researchers reported the discovered vulnerabilities to LEGO, and the company took action to fix all issues."


Das ist auch ein übliches Vorgehen in solchen Fällen (unter wohlmeinenden Hackern, versteht sich) - wenn man Angriffsvektoren findet, meldet man diese dem Seitenbetrieber. Erst, wenn dieser sie gefixt hat, veröffentlicht man sie. Und wenn der Seitenbetreiber nicht reagiert, werden meist weniger explizite Warnungen veröffentlicht.

Im BrickLink-Forum gibt es einen Kommentar von der BrickLink-Administration zu dem genannten Artikel.

Folgend die deutsche Übersetzung von deepl.com:

Liebe BrickLink Mitglieder,

vor kurzem ist ein Bericht über eine mögliche Datenverletzung auf unserer Website, BrickLink.com, aufgetaucht.
Wir können Ihnen, unseren Mitgliedern, versichern, dass wir keine Beweise für einen Verstoß gegen unsere Systeme gesehen haben
unserer Systeme gesehen haben und keinen Grund zu der Annahme haben, dass die Daten, die Sie uns anvertraut haben
kompromittiert wurden.

Vor kurzem wurden wir von einer dritten Partei angesprochen, die ihre Dienste anbot
um mehrere potenzielle Sicherheitslücken zu schließen, die sie entdeckt hatten. Diese dritte Partei
ist keiner unserer Lieferanten, und wir haben ihn nicht gebeten, eine Analyse oder
oder Diagnose unserer Systeme.

Als wir die Dienste dieser dritten Partei nicht in Anspruch nahmen, veröffentlichte sie offenbar
diese "Nachricht", dass auf unserer Website eine Sicherheitslücke aufgetreten sein könnte. Während es
Es ist zwar richtig, dass es immer eine kleine Möglichkeit gibt, dass Daten auf einer Website kompromittiert werden
Wir sind jedoch der Meinung, dass dieser Bericht unsere Website zu Unrecht als unsicher darstellt.

Wir haben erheblich in unser Sicherheitssystem investiert und sind zuversichtlich, dass es
Ihre Daten sicher zu halten. Darüber hinaus halten wir uns streng an die Standards der LEGO Gruppe
Standards der LEGO Gruppe für die Einhaltung der GDPR und anderer rechtlicher Anforderungen in Bezug auf die Daten
unserer Nutzer.

Wir danken Ihnen für Ihre Aufmerksamkeit und bitten Sie, sich bei Fragen an den Helpdesk zu wenden.
Fragen zu kontaktieren, die Sie haben könnten.

Das BrickLink Team

Lesenswert ist der Blog-Eintrag des Sicherheitsforschers Shiran Yodev vom Unternehmen Salt Security vom 15.12.2022, in dem er seine Untersuchung der Website bricklink.com erläutert.

Es ist sehr schön anschaulich mit Screenshots dargestellt, wie eine so genannte "Code Injection" (das Unterjubeln und Ausführen von fremdem Code) vonstatten gehen kann und wie er es geschafft hat, Dateien vom BrickLink-Server lesen zu können.

Die Sicherheitslücken sind mittlerweise gefixt.