Abo
  • Services:

Sicherheitslücke bei eBay

Unbefugte erhalten Zugriff auf eBay-Kontodaten

Im Onlineauktionshaus eBay befindet sich ein Sicherheitsloch, das Angreifer zum Ausspähen fremder eBay-Kontodaten missbrauchen können, wie Falle-Internet.de berichtet. Um Opfer eines solchen Angriffs zu werden, muss lediglich eine entsprechend präparierte eBay-Auktion im Browser geöffnet werden. In einer Stellungnahme bestätigte eBay das Problem grundsätzlich, hält die Gefahren allerdings für relativ gering, da nur Nutzer, die zuvor überprüft wurden, die entsprechenden Techniken nutzen dürfen.

Artikel veröffentlicht am ,

Um das von Falle-Internet.de beschriebene Sicherheitsloch auszunutzen, stellt der Angreifer eine Auktion in eBay ein und integriert darin eine präparierte Flash-Animation. Sobald sich ein angemeldetes eBay-Mitglied die betreffende Auktion ansieht, kann der Angreifer dessen Kontodaten über Cross-Site-Scripting einsehen, berichtet Falle-Internet.de. Damit erhält er Zugriff auf alle Daten unter "Mein eBay", die eigentlich nur für den angemeldeten Nutzer einsehbar sein sollten. Das Opfer soll davon nichts bemerken. Dazu verbergen sich in der Flash-Animation schadhafte JavaScript-Befehle, worüber die betreffenden eBay-Cookies an den Angreifer verschickt werden.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. EnBW Energie Baden-Württemberg AG, Stuttgart

Durch das Sicherheitsleck erhalten Unbefugte Zugriff auf den Namen sowie die Anschrift des eBay-Nutzers einschließlich seiner E-Mail-Adresse. Immerhin sind alle Bank- und Kreditkartendaten teilweise unkenntlich gemacht, so dass sich diese so nicht ohne weiteres ausspionieren lassen. Darüber hinaus kann der Unbefugte aber die Kennwort-Sicherheitsabfrage einsehen sowie alle zurückliegenden und zu beobachtende Auktionen betrachten. Auch der Zugriff auf alle Mitteilungen im Bereich "Meine Nachrichten" sind dadurch ungeschützt.

Diese vertraulichen Informationen können dazu genutzt werden, jemandem gefälschte Angebote zu unterbreiten. Dabei helfen die korrekten Informationen über das Opfer, die entsprechenden Informationen als vertrauenswürdig wirken zu lassen.

Nach Angaben von Falle-Internet.de wurde eBay Mitte Dezember 2007 auf die Probleme hingewiesen, ohne dass diese seitdem beseitigt wurden. Derzeit können sich eBay-Kunden nur gegen solche Angriffe schützen, indem sie das Flash-Plug-In deinstallieren oder die JavaScript- und ActiveX-Funktionen im Browser deaktiviert werden. Ohne aktiviertes JavaScript bzw. ActiveX lassen sich die wesentlichen Funktionen von eBay allerdings nicht mehr nutzen. Und ohne Flash-Plug-In werden zahlreiche Webseiten nicht mehr korrekt angezeigt, so dass der Nutzer dann erhebliche Komforteinbußen zu verzeichnen hat.

In einer Stellungnahme bestätigte eBay, dass mittels JavaScript oder Flash Schadsoftware erzeugt werden kann. Der Einsatz solcher Schadsoftware habe aber "keine praktische Relevanz" auf eBay. Zudem sei die Nutzung von JavaScript oder Flash nur Teilnehmern am PowerSeller-Programm, "geprüften Mitgliedern", verifizierten PayPal- und eBay-Mitgliedern vorbehalten, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Dabei handle es sich um besonders vertrauenswürdige eBay-Mitglieder, bei denen nahezu ausgeschlossen sei, dass sie eBay in einer solch missbräuchlichen Art und Weise nutzen, meint das Auktionshaus.

Zudem setzt eBay nach eigenen Angaben zusätzliche Schutzmaßnahmen ein, um entsprechende Schadsoftware zu erkennen und solche Angebote aus dem Marktplatz zu entfernen.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y520 Gaming-Notebook mit i5-7300HQ/8 GB RAM/512 GB SSD/GTX 1050 4 GB/Windows...
  2. (u. a. Define R6 für 94,90€ + Versand, Zotac GeForce GTX 1080 Ti Blower für 639€ + Versand...
  3. 295,99€ (Vergleichspreis ca. 335€) - Aktuell günstigste 2-TB-SSD!
  4. (einzeln für 99€, 2er-Set für 198€ und 3er-Set für 297€)

Ruhrpottler 13. Mär 2008

Wieso verdammt muss man Schwuchtel als beleidigung nutzen? sind schwule schlechtere...

Martin F. 13. Mär 2008

Ja, hatte ich früher auch, ebenso wie PDF Download, aber NoScript ist da eben...


Folgen Sie uns
       


Magnetschwebebahn bei Max Bögl - Bericht

Leise soll das Transport System Bögl sein, schnell und wartungsarm. Wir sind in der Magnetschwebebahn mitgefahren.

Magnetschwebebahn bei Max Bögl - Bericht Video aufrufen
Logitechs MX Vertical im Test: So teuer muss eine gute vertikale Maus nicht sein
Logitechs MX Vertical im Test
So teuer muss eine gute vertikale Maus nicht sein

Logitech hat mit der MX Vertical erstmals eine vertikale Maus im Sortiment. Damit werden Nutzer angesprochen, die gesundheitliche Probleme bei der Mausnutzung haben - Schmerzen sollen verringert werden. Das Logitech-Modell muss sich an der deutlich günstigeren Alternative von Anker messen lassen.
Ein Test von Ingo Pakalski

  1. Logitech MX Vertical Ergonomisch geformte Maus soll Handgelenke schonen
  2. Razer Mamba Elite Razer legt seine Mamba erneut mit mehr RGB auf
  3. Logitech G305 Günstige Wireless-Maus mit langer Laufzeit für Gamer

Network Slicing: 5G gefährdet die Netzneutralität - oder etwa nicht?
Network Slicing
5G gefährdet die Netzneutralität - oder etwa nicht?

Ein Digitalexperte warnt vor einem "deutlichen Spannungsverhältnis" zwischen der technischen Basis des kommenden Mobilfunkstandards 5G und dem Prinzip des offenen Internets. Die Bundesnetzagentur gibt dagegen vorläufig Entwarnung.
Ein Bericht von Stefan Krempl

  1. T-Mobile US Deutsche Telekom gibt 3,5 Milliarden US-Dollar für 5G aus
  2. Ericsson Swisscom errichtet standardisiertes 5G-Netz in Burgdorf
  3. Masterplan Digitalisierung Niedersachsen will flächendeckende Glasfaserinfrastruktur

Shadow of the Tomb Raider im Test: Lara und die Apokalypse Lau
Shadow of the Tomb Raider im Test
Lara und die Apokalypse Lau

Ein alter Tempel und Lara Croft: Diese Kombination sorgt in Shadow of the Tomb Raider natürlich für gewaltige Probleme. Die inhaltlichen Unterschiede zu den Vorgängern sind erstaunlich groß, aber trotz guter Ideen vermag das Action-Adventure im Test nicht so richtig zu überzeugen.
Ein Test von Peter Steinlechner

  1. Square Enix Systemanforderungen für Shadow of the Tomb Raider liegen vor
  2. Shadow of the Tomb Raider angespielt Lara und die Schwierigkeitsgrade
  3. Remasters Tomb Raider 1 bis 3 bekommen neue Engine

    •  /