Sicherheitslücke bei eBay – Einblick in Mitgliedsdaten möglich

Sicherheitslücke bei eBay - Einblick in Mitgliedsdaten möglich

Sie bezeichnen sich selbst als eine Gruppe erfahrener Internetnutzer, die insbesondere den Handel auf Online-Auktionsplattformen kritisch verfolgen. Es ist nicht das erste Mal, dass die Gruppe um die private Webseite falle-internet.de auf eine Sicherheitslücke aufmerksam macht. Aktuell warnt diese vor einer Schwachstelle bei dem Online-Auktionshaus eBay, von der praktisch jeder eingeloggte eBay-Nutzer betroffen sein kann.
Die Gruppe beschreibt ein von ihr inszenierte Szenario: In einem möglichst für viele Nutzer interessanten Auktionsangebot binden die Kriminellen eine Flash-Animation ein. Besucht ein eingeloggter eBay-Nutzer dieses Angebot, lädt dessen Browser den Flash-Schadcode auf den Computer des Nutzers. Dort wird die Flash-Datei ausgeführt, die JavaScript enthält und Informationen an die Kriminellen sendet. Die erhalten dadurch Einblick in die persönlichen Daten des eBay-Nutzers.

Die Kriminellen können die Liste der beobachteten Artikel, der Handelsaktivitäten, den vollen Namen, die Anschrift und Emailadresse des Nutzers, Teile der Bankverbindung und der Kreditkartendaten, interne Nachrichten und die Angaben zu der Passwort-Sicherheitsabfrage einsehen. An diese Informationen können die Kriminellen durch den einfachen Aufruf der präparierten Angebotsseite gelangen, der eBay-Nutzer muss dafür lediglich bei eBay eingeloggt sein und bemerkt von dem Eingriff nichts. Ihre Daten können jedoch zum Beispiel für einen gezielten Phishing-Angriff verwendet werden.

Die Gruppe falle-internet hatte eBay nach eigenen Angaben bereits vor mehreren Monaten auf die Sicherheitslücke aufmerksam gemacht und Lösungsmöglichkeiten gezeigt. In einer Stellungnahme wies eBay darauf hin, dass das Einbinden von Flash-Elementen in Deutschland nur bestimmten eBay-Mitgliedskonten vorbehalten ist. Laut eBay-Richtlinien dürfen nur Mitglieder mit Powerseller-Status oder per Postident geprüfte Identität bzw. verifiziertem Paypal-Konto oder mehr als 500 positiven Bewertungen bei mehr als 500 Tagen eBay-Mitgliedschaft Flash-Elemente in ihre Angebote einbinden. Es gibt ausreichend Beispiel dafür, dass eBay-Account gekapert und zu unseriösen Zwecken missbraucht werden können. Diese Maßnahme ist also offensichtlich nicht ausreichend. eBay hat das Problem bisher nicht behoben. Nun hofft der Herausgeber auf den Druck der Öffentlichkeit, um eBay zu einer Lösung zu bewegen.

Um sich vor der bestehenden Sicherheitslücke zu schützen, könnten eBay-Nutzer bei Besucher der Webseite das auf nahezu jedem Computer installierte JavaScript und Flash deaktivieren. Das ist in dem Internet Explorer nicht ganz einfach in dem Zonenmodell einzustellen, bei dem Mozilla Firefox hilft zum Beispiel die Browser-Erweiterung NoScript. Auf JavaScript und Flash völlig zu verzichten ist nicht ratsam, weil viele wichtige Funktionen auf Webseiten so nicht ausgeführt werden könnten. Eine dauerhafte Lösung ist deshalb nötig.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Malware - Minecraft-Mods klauen Nutzerdaten

Malware

Minecraft-Mods klauen Nutzerdaten

Minecraft-Fans luden vermeintliche Cheat-Tools für Launcher wie Oringo, Funnymap oder Porlar herunter – tatsächlich handelte es sich um getarnte Malware. Nach der Installation aktivieren die JAR-Dateien ein .NET-Stealer-Modul, das Minecraft-, Microsoft-, Discord- und Telegram-Accountdaten abgreift und über einen Discord-Webhook an die Angreifer sendet. […]

Schluss mit der Werbefreiheit – WhatsApp führt Werbeanzeigen ein

Schluss mit der Werbefreiheit

WhatsApp führt Werbeanzeigen ein

In der Rubrik „Aktuelles“ auf WhatsApp wird bald Werbung erscheinen. Nach jahrelangen Spekulationen ist es jetzt Gewissheit, dass der Meta-Konzern die Werbefreiheit des beliebtesten Messengers weltweit beendet. Bereits in den nächsten Monaten soll die Werbung erscheinen. […]

Endlich schnelles Internet im Zug? – Kooperation soll Netz verbessern

Endlich schnelles Internet im Zug?

Kooperation soll Netz verbessern

Ein neues Forschungs- und Entwicklungsprojekt, bei dem alle vier Netzbetreiber Deutschlands mit der Deutschen Bahn zusammenarbeiten, soll das Netz im Zug endlich deutlich verbessern. Denn bisher müssen Reisende meist auf schnelles Internet verzichten. Das soll sich in Zukunft ändern. […]

Bitcoins im Millionenwert – die jahrelange Suche auf der Mülldeponie

Bitcoins im Millionenwert

Die jahrelange Suche auf der Mülldeponie

Seit mehr als elf Jahren sucht ein Brite auf einer Mülldeponie nach seiner alten Festplatte. Denn auf dieser soll sich ein Vermögen in Höhe von aktuell mehr als 700 Millionen Euro befinden. Jetzt wird die Geschichte von Howell und seiner Suche nach der Bitcoin-Wallet sogar verfilmt. […]

Komfort-Features im Festnetz entfallen – Telekom streicht Funktionen

Komfort-Features im Festnetz entfallen

Telekom streicht Funktionen

Die Telekom streicht gleich mehrere Features aus ihrem Online-Telefoniecenter. Festnetz-Kunden können ab Mitte Juni nicht mehr auf bestimmte Komfort-Funktionen, wie beispielsweise die Blockierung einzelner Rufnummern oder den automatischen Rückruf zurückgreifen. […]