Poodle, Drown und SSL in den Versionen 2 und 3

Poodle ist eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption und tritt in Verbindung mit SSL in der Protokollversion 3 auf. Angreifer können mittels Man-in-the-Middle-Angriffen möglicherweise vertrauliche Session-Cookies auslesen. SSLv3 wurde bereits im Jahr 1999 durch TLS 1.0 abgelöst und sollte in keinem modernen Webserver mehr Verwendung finden. Kein aktueller Browser unterstützt mehr den veralteten Standard.

Der beste Schutz gegen Poodle ist die komplette Deaktivierung von SSLv3, alternativ kann ein Protokoll-Downgrade mit der TLS-Erweiterung SCSV vorgenommen werden. Keine der beiden Mitigationen wurde von Flixbus umgesetzt. Nach Angaben des Unternehmens wurde der zuständige Dienstleister informiert, über "Störungen" sei bislang nichts bekannt.

Weiterhin besteht eine zumindest theoretische Anfälligkeit gegen den Drown-Angriff, eine im Jahr 2016 bekanntgewordene Variante des Bleichenbacher-Angriffs. Aufgrund des Aufwands ist allerdings eher nicht mit aktiven Angriffen zu rechnen. Nichtsdestotrotz hat SSL in der Version 2 auf einem modernen Webserver nichts zu suchen.

Zahlreiche alte Ciphern - inklusive RC4

Der Server akzeptiert außerdem wegen der alten Softwareversionen zahlreiche alte Ciphern, die nicht mehr genutzt werden sollten - insbesondere den seit vielen Jahren als unsicher geltenden Algorithmus RC4, außerdem RSA in Kombination mit 3Des im CBC-Modus.

Wird der Gutschein in den Warenkorb gelegt, bleiben Nutzer auf der gleichen Seite - mit all ihren Problemen. Grundsätzlich ist es also möglich, dass Angreifer, denen die Schwachstelle bekannt ist, diese ausnutzen und eingegebene persönliche Informationen abgreifen und kopieren.

Flixbus: Kundendaten sind nicht gefährdet

Die Buchung der eigentlichen Fahrt erfolgt dann später aber über die Hauptseite von Flixbus - ohne die geschilderten Probleme. Das Unternehmen teilt dazu mit: "Auf der InterFlix-Website ist lediglich eine vorgeschaltete Transaktion integriert, die tatsächliche Fahrtbuchung erfolgt über unseren korrekt konfigurierten Webshop. Der Kunde erhält zunächst ausschließlich Gutscheincodes für die anschließende Buchung im Webshop. Zahlungs- und fahrtrelevante Daten unserer Kunden sind somit zu keiner Zeit gefährdet, da die Zahlung der InterFlix-Gutscheine über PayPal erfolgt."

Die zu der Domain gehörende IP-Adresse nutzt ausweislich eines Scans mit dem von F-Secure bereitgestellten Tool Riddler die Internet Information Services von Microsoft in Version 7.5 - also vermutlich einen Windows Server 2008 RC2. Für diese Softwareversion existiert ein Security-Advisory von Microsoft, das die Deaktivierung der RC4-Unterstützung empfiehlt. Wieso das auf einem professionell genutzten Server nicht geschieht, erschließt sich uns nicht.

Dass das Unternehmen eine solch alte Infrastruktur nutzt, ist ohnehin merkwürdig. Flixbus selbst wurde erst im Jahr 2011 gegründet.