Sicherheitslücke bei eBay – Einblick in Mitgliedsdaten möglich

Sicherheitslücke bei eBay - Einblick in Mitgliedsdaten möglich

Sie bezeichnen sich selbst als eine Gruppe erfahrener Internetnutzer, die insbesondere den Handel auf Online-Auktionsplattformen kritisch verfolgen. Es ist nicht das erste Mal, dass die Gruppe um die private Webseite falle-internet.de auf eine Sicherheitslücke aufmerksam macht. Aktuell warnt diese vor einer Schwachstelle bei dem Online-Auktionshaus eBay, von der praktisch jeder eingeloggte eBay-Nutzer betroffen sein kann.
Die Gruppe beschreibt ein von ihr inszenierte Szenario: In einem möglichst für viele Nutzer interessanten Auktionsangebot binden die Kriminellen eine Flash-Animation ein. Besucht ein eingeloggter eBay-Nutzer dieses Angebot, lädt dessen Browser den Flash-Schadcode auf den Computer des Nutzers. Dort wird die Flash-Datei ausgeführt, die JavaScript enthält und Informationen an die Kriminellen sendet. Die erhalten dadurch Einblick in die persönlichen Daten des eBay-Nutzers.

Die Kriminellen können die Liste der beobachteten Artikel, der Handelsaktivitäten, den vollen Namen, die Anschrift und Emailadresse des Nutzers, Teile der Bankverbindung und der Kreditkartendaten, interne Nachrichten und die Angaben zu der Passwort-Sicherheitsabfrage einsehen. An diese Informationen können die Kriminellen durch den einfachen Aufruf der präparierten Angebotsseite gelangen, der eBay-Nutzer muss dafür lediglich bei eBay eingeloggt sein und bemerkt von dem Eingriff nichts. Ihre Daten können jedoch zum Beispiel für einen gezielten Phishing-Angriff verwendet werden.

Die Gruppe falle-internet hatte eBay nach eigenen Angaben bereits vor mehreren Monaten auf die Sicherheitslücke aufmerksam gemacht und Lösungsmöglichkeiten gezeigt. In einer Stellungnahme wies eBay darauf hin, dass das Einbinden von Flash-Elementen in Deutschland nur bestimmten eBay-Mitgliedskonten vorbehalten ist. Laut eBay-Richtlinien dürfen nur Mitglieder mit Powerseller-Status oder per Postident geprüfte Identität bzw. verifiziertem Paypal-Konto oder mehr als 500 positiven Bewertungen bei mehr als 500 Tagen eBay-Mitgliedschaft Flash-Elemente in ihre Angebote einbinden. Es gibt ausreichend Beispiel dafür, dass eBay-Account gekapert und zu unseriösen Zwecken missbraucht werden können. Diese Maßnahme ist also offensichtlich nicht ausreichend. eBay hat das Problem bisher nicht behoben. Nun hofft der Herausgeber auf den Druck der Öffentlichkeit, um eBay zu einer Lösung zu bewegen.

Um sich vor der bestehenden Sicherheitslücke zu schützen, könnten eBay-Nutzer bei Besucher der Webseite das auf nahezu jedem Computer installierte JavaScript und Flash deaktivieren. Das ist in dem Internet Explorer nicht ganz einfach in dem Zonenmodell einzustellen, bei dem Mozilla Firefox hilft zum Beispiel die Browser-Erweiterung NoScript. Auf JavaScript und Flash völlig zu verzichten ist nicht ratsam, weil viele wichtige Funktionen auf Webseiten so nicht ausgeführt werden könnten. Eine dauerhafte Lösung ist deshalb nötig.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Nutzungsrechtsverletzung – Internetanbieter muss DNS-Sperre einrichten

Nutzungsrechtsverletzung

Internetanbieter muss DNS-Sperre einrichten

Der Bundesgerichtshof hat einen Internetzugangsanbieter zur Einrichtung einer Internetsperre verpflichtet. Denn als Zugangsvermittler tragen seine Dienste zur Verletzung der Nutzungsrechte bei. Geklagt hatten Wissenschaftsverlage. […]

Revolutionär – Samsung stellt Display vor, das biometrische Daten misst

Revolutionär

Samsung stellt Display vor, das biometrische Daten misst

Der Hersteller Samsung hat ein neues Display vorgestellt, das die Smartphone-Welt revolutionieren könnte. Das spezielle Sensor-OLED-Display dient in seiner gesamten Fläche als Fingerabdrucksensor. Hierdurch soll unter anderem die Authentifizierung beschleunigt und verbessert werden. […]

Aus für „Hallo Magenta“ – Telekom stellt Smart Speaker am 30. Juni ein

Aus für „Hallo Magenta“

Telekom stellt Smart Speaker am 30. Juni ein

Sämtliche Funktionen des intelligenten Lautsprechers „Hallo Magenta“ der Telekom werden in wenigen Wochen eingestellt. Das bedeutet nach nicht einmal vier Jahren das Aus für den Smart Speaker. Nur ein Teil der Käufer bekommt sein Geld zurück. […]

Urteil – Anbieter darf Handyvertrag nicht an die Schufa melden

Urteil

Anbieter darf Handyvertrag nicht an die Schufa melden

Das Weiterleiten von Positivdaten der Kunden an Auskunfteien durch Mobilfunkanbieter ist eine übliche Vorgehensweise. Verbraucherschützer konnten jetzt einen Erfolg vor Gericht erzielen, der dieses Vorgehen untersagt. Denn auch Positivdaten können negative Auswirkungen für den Kunden haben. […]