eBay-Sicherheitslücke offenbart Kontodaten
Dazu müsse nicht einmal eine aktuelle Auktion des potenziellen Opfers vorliegen. Mit Hilfe der eBay-Datenbank könne man aus der Mailadresse oder dem Mitgliedsnamen eines Verkäufers dessen Kontoverbindung herausfinden. Das funktioniert natürlich nicht bei allen eBay-Accounts, da z.B. Nur-Käufer ihre Bankdaten im Allgemeinen nicht angegeben haben.
Wie man die Sicherheitslücke konkret ausnutzen kann, will Gronen nicht veröffentlichen, sondern nur auf die Missbrauchsmöglichkeit aufmerksam machen. Auch eBay soll bereits Mitte Januar 2003 von einem Berliner Informatiker informiert worden sein, hat aber augenscheinlich nicht reagiert.
Nach Angaben von Gronen wurde von Elmar Denkmann, Autor der Tools BayWotch und PreisHai, ein kleines Programm zum Demonstrieren dieser Sicherheitslücke geschrieben, das allerdings nicht zum Download angeboten wird. Als Login funktioniere jeder eBay-Account.
Es bleibt allerdings festzuhalten, dass man selbst mit den hinterlegten Kontodaten und dem echten Namen des eBay-Mitglieds kaum wirklichen Schaden anrichten kann – auch wenn jemand mittels gefälschter Lastschrift Geld vom Konto des Opfers abhebt, kann der Bestohlene das Geld zurückholen lassen. Eine Menge Ärger und Zeitaufwand zur Behebung des Schadens wird allerdings nicht ausbleiben.
Mittlerweile soll eBay reagiert haben und die entsprechende Funktion vorerst deaktiviert haben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.