Sie bezeichnen sich selbst als eine Gruppe erfahrener Internetnutzer, die insbesondere den Handel auf Online-Auktionsplattformen kritisch verfolgen. Es ist nicht das erste Mal, dass die Gruppe um die private Webseite falle-internet.de auf eine Sicherheitslücke aufmerksam macht. Aktuell warnt diese vor einer Schwachstelle bei dem Online-Auktionshaus eBay, von der praktisch jeder eingeloggte eBay-Nutzer betroffen sein kann.
Die Gruppe beschreibt ein von ihr inszenierte Szenario: In einem möglichst für viele Nutzer interessanten Auktionsangebot binden die Kriminellen eine Flash-Animation ein. Besucht ein eingeloggter eBay-Nutzer dieses Angebot, lädt dessen Browser den Flash-Schadcode auf den Computer des Nutzers. Dort wird die Flash-Datei ausgeführt, die JavaScript enthält und Informationen an die Kriminellen sendet. Die erhalten dadurch Einblick in die persönlichen Daten des eBay-Nutzers.
Die Kriminellen können die Liste der beobachteten Artikel, der Handelsaktivitäten, den vollen Namen, die Anschrift und Emailadresse des Nutzers, Teile der Bankverbindung und der Kreditkartendaten, interne Nachrichten und die Angaben zu der Passwort-Sicherheitsabfrage einsehen. An diese Informationen können die Kriminellen durch den einfachen Aufruf der präparierten Angebotsseite gelangen, der eBay-Nutzer muss dafür lediglich bei eBay eingeloggt sein und bemerkt von dem Eingriff nichts. Ihre Daten können jedoch zum Beispiel für einen gezielten Phishing-Angriff verwendet werden.
Die Gruppe falle-internet hatte eBay nach eigenen Angaben bereits vor mehreren Monaten auf die Sicherheitslücke aufmerksam gemacht und Lösungsmöglichkeiten gezeigt. In einer Stellungnahme wies eBay darauf hin, dass das Einbinden von Flash-Elementen in Deutschland nur bestimmten eBay-Mitgliedskonten vorbehalten ist. Laut eBay-Richtlinien dürfen nur Mitglieder mit Powerseller-Status oder per Postident geprüfte Identität bzw. verifiziertem Paypal-Konto oder mehr als 500 positiven Bewertungen bei mehr als 500 Tagen eBay-Mitgliedschaft Flash-Elemente in ihre Angebote einbinden. Es gibt ausreichend Beispiel dafür, dass eBay-Account gekapert und zu unseriösen Zwecken missbraucht werden können. Diese Maßnahme ist also offensichtlich nicht ausreichend. eBay hat das Problem bisher nicht behoben. Nun hofft der Herausgeber auf den Druck der Öffentlichkeit, um eBay zu einer Lösung zu bewegen.
Um sich vor der bestehenden Sicherheitslücke zu schützen, könnten eBay-Nutzer bei Besucher der Webseite das auf nahezu jedem Computer installierte JavaScript und Flash deaktivieren. Das ist in dem Internet Explorer nicht ganz einfach in dem Zonenmodell einzustellen, bei dem Mozilla Firefox hilft zum Beispiel die Browser-Erweiterung NoScript. Auf JavaScript und Flash völlig zu verzichten ist nicht ratsam, weil viele wichtige Funktionen auf Webseiten so nicht ausgeführt werden könnten. Eine dauerhafte Lösung ist deshalb nötig.
Hinterlasse jetzt einen Kommentar