Abo
  • Services:
Anzeige

Sicherheitslücke bei eBay

Unbefugte erhalten Zugriff auf eBay-Kontodaten

Im Onlineauktionshaus eBay befindet sich ein Sicherheitsloch, das Angreifer zum Ausspähen fremder eBay-Kontodaten missbrauchen können, wie Falle-Internet.de berichtet. Um Opfer eines solchen Angriffs zu werden, muss lediglich eine entsprechend präparierte eBay-Auktion im Browser geöffnet werden. In einer Stellungnahme bestätigte eBay das Problem grundsätzlich, hält die Gefahren allerdings für relativ gering, da nur Nutzer, die zuvor überprüft wurden, die entsprechenden Techniken nutzen dürfen.

Um das von Falle-Internet.de beschriebene Sicherheitsloch auszunutzen, stellt der Angreifer eine Auktion in eBay ein und integriert darin eine präparierte Flash-Animation. Sobald sich ein angemeldetes eBay-Mitglied die betreffende Auktion ansieht, kann der Angreifer dessen Kontodaten über Cross-Site-Scripting einsehen, berichtet Falle-Internet.de. Damit erhält er Zugriff auf alle Daten unter "Mein eBay", die eigentlich nur für den angemeldeten Nutzer einsehbar sein sollten. Das Opfer soll davon nichts bemerken. Dazu verbergen sich in der Flash-Animation schadhafte JavaScript-Befehle, worüber die betreffenden eBay-Cookies an den Angreifer verschickt werden.

Anzeige

Durch das Sicherheitsleck erhalten Unbefugte Zugriff auf den Namen sowie die Anschrift des eBay-Nutzers einschließlich seiner E-Mail-Adresse. Immerhin sind alle Bank- und Kreditkartendaten teilweise unkenntlich gemacht, so dass sich diese so nicht ohne weiteres ausspionieren lassen. Darüber hinaus kann der Unbefugte aber die Kennwort-Sicherheitsabfrage einsehen sowie alle zurückliegenden und zu beobachtende Auktionen betrachten. Auch der Zugriff auf alle Mitteilungen im Bereich "Meine Nachrichten" sind dadurch ungeschützt.

Diese vertraulichen Informationen können dazu genutzt werden, jemandem gefälschte Angebote zu unterbreiten. Dabei helfen die korrekten Informationen über das Opfer, die entsprechenden Informationen als vertrauenswürdig wirken zu lassen.

Nach Angaben von Falle-Internet.de wurde eBay Mitte Dezember 2007 auf die Probleme hingewiesen, ohne dass diese seitdem beseitigt wurden. Derzeit können sich eBay-Kunden nur gegen solche Angriffe schützen, indem sie das Flash-Plug-In deinstallieren oder die JavaScript- und ActiveX-Funktionen im Browser deaktiviert werden. Ohne aktiviertes JavaScript bzw. ActiveX lassen sich die wesentlichen Funktionen von eBay allerdings nicht mehr nutzen. Und ohne Flash-Plug-In werden zahlreiche Webseiten nicht mehr korrekt angezeigt, so dass der Nutzer dann erhebliche Komforteinbußen zu verzeichnen hat.

In einer Stellungnahme bestätigte eBay, dass mittels JavaScript oder Flash Schadsoftware erzeugt werden kann. Der Einsatz solcher Schadsoftware habe aber "keine praktische Relevanz" auf eBay. Zudem sei die Nutzung von JavaScript oder Flash nur Teilnehmern am PowerSeller-Programm, "geprüften Mitgliedern", verifizierten PayPal- und eBay-Mitgliedern vorbehalten, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Dabei handle es sich um besonders vertrauenswürdige eBay-Mitglieder, bei denen nahezu ausgeschlossen sei, dass sie eBay in einer solch missbräuchlichen Art und Weise nutzen, meint das Auktionshaus.

Zudem setzt eBay nach eigenen Angaben zusätzliche Schutzmaßnahmen ein, um entsprechende Schadsoftware zu erkennen und solche Angebote aus dem Marktplatz zu entfernen.


eye home zur Startseite
Ruhrpottler 13. Mär 2008

Wieso verdammt muss man Schwuchtel als beleidigung nutzen? sind schwule schlechtere...

Martin F. 13. Mär 2008

Ja, hatte ich früher auch, ebenso wie PDF Download, aber NoScript ist da eben...



Anzeige

Stellenmarkt
  1. Commerz Finanz GmbH, München
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. Robert Bosch GmbH, Abstatt
  4. Ratbacher GmbH, Frankfurt


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. 1.039,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Search Light

    Google testet schlanke Such-App

  2. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  3. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  4. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  5. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  6. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  7. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  8. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  9. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  10. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mercedes S-Klasse im Test: Das selbstfahrende Auto ist schon sehr nahe
Mercedes S-Klasse im Test
Das selbstfahrende Auto ist schon sehr nahe
  1. Autonomes Fahren Fiat Chrysler kooperiert mit BMW und Intel
  2. 3M Verkehrsschilder informieren autonom fahrende Autos
  3. Waymo Autonomes Auto zerstört sich beim Unfall mit Fußgängern

LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

Windows 10 S im Test: Das S steht für schlechtes Marketing
Windows 10 S im Test
Das S steht für schlechtes Marketing
  1. Microsoft Neugierige Nutzer können Windows 10 S ausprobieren
  2. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  3. Malware Der unvollständige Ransomware-Schutz von Windows 10 S

  1. 3D-Druckkontrolle gehackt

    Earan | 01:02

  2. Re: Warum ich die Golem Werbung blocke ..

    Arkarit | 00:55

  3. Re: Sollen sie Werbeblocker halt aussperren.

    Arkarit | 00:43

  4. Worker einzeln bewegen...

    Baladur | 00:43

  5. Re: Nicht mehr Übersicht? Wurgs...

    ChristianKG | 00:33


  1. 17:02

  2. 15:55

  3. 15:41

  4. 15:16

  5. 14:57

  6. 14:40

  7. 14:26

  8. 13:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel