Sicherheitslücke bei eBay – Einblick in Mitgliedsdaten möglich

Sicherheitslücke bei eBay - Einblick in Mitgliedsdaten möglich

Sie bezeichnen sich selbst als eine Gruppe erfahrener Internetnutzer, die insbesondere den Handel auf Online-Auktionsplattformen kritisch verfolgen. Es ist nicht das erste Mal, dass die Gruppe um die private Webseite falle-internet.de auf eine Sicherheitslücke aufmerksam macht. Aktuell warnt diese vor einer Schwachstelle bei dem Online-Auktionshaus eBay, von der praktisch jeder eingeloggte eBay-Nutzer betroffen sein kann.
Die Gruppe beschreibt ein von ihr inszenierte Szenario: In einem möglichst für viele Nutzer interessanten Auktionsangebot binden die Kriminellen eine Flash-Animation ein. Besucht ein eingeloggter eBay-Nutzer dieses Angebot, lädt dessen Browser den Flash-Schadcode auf den Computer des Nutzers. Dort wird die Flash-Datei ausgeführt, die JavaScript enthält und Informationen an die Kriminellen sendet. Die erhalten dadurch Einblick in die persönlichen Daten des eBay-Nutzers.

Die Kriminellen können die Liste der beobachteten Artikel, der Handelsaktivitäten, den vollen Namen, die Anschrift und Emailadresse des Nutzers, Teile der Bankverbindung und der Kreditkartendaten, interne Nachrichten und die Angaben zu der Passwort-Sicherheitsabfrage einsehen. An diese Informationen können die Kriminellen durch den einfachen Aufruf der präparierten Angebotsseite gelangen, der eBay-Nutzer muss dafür lediglich bei eBay eingeloggt sein und bemerkt von dem Eingriff nichts. Ihre Daten können jedoch zum Beispiel für einen gezielten Phishing-Angriff verwendet werden.

Die Gruppe falle-internet hatte eBay nach eigenen Angaben bereits vor mehreren Monaten auf die Sicherheitslücke aufmerksam gemacht und Lösungsmöglichkeiten gezeigt. In einer Stellungnahme wies eBay darauf hin, dass das Einbinden von Flash-Elementen in Deutschland nur bestimmten eBay-Mitgliedskonten vorbehalten ist. Laut eBay-Richtlinien dürfen nur Mitglieder mit Powerseller-Status oder per Postident geprüfte Identität bzw. verifiziertem Paypal-Konto oder mehr als 500 positiven Bewertungen bei mehr als 500 Tagen eBay-Mitgliedschaft Flash-Elemente in ihre Angebote einbinden. Es gibt ausreichend Beispiel dafür, dass eBay-Account gekapert und zu unseriösen Zwecken missbraucht werden können. Diese Maßnahme ist also offensichtlich nicht ausreichend. eBay hat das Problem bisher nicht behoben. Nun hofft der Herausgeber auf den Druck der Öffentlichkeit, um eBay zu einer Lösung zu bewegen.

Um sich vor der bestehenden Sicherheitslücke zu schützen, könnten eBay-Nutzer bei Besucher der Webseite das auf nahezu jedem Computer installierte JavaScript und Flash deaktivieren. Das ist in dem Internet Explorer nicht ganz einfach in dem Zonenmodell einzustellen, bei dem Mozilla Firefox hilft zum Beispiel die Browser-Erweiterung NoScript. Auf JavaScript und Flash völlig zu verzichten ist nicht ratsam, weil viele wichtige Funktionen auf Webseiten so nicht ausgeführt werden könnten. Eine dauerhafte Lösung ist deshalb nötig.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Drohung mit negativer Bewertung – Gastwirte werden per E-Mail erpresst

Drohung mit negativer Bewertung

Gastwirte werden per E-Mail erpresst

Restaurantbesitzern wird derzeit mit einer Rufschädigung ihres Lokals bei Nichtzahlung eines hohen Geldbetrags gedroht. Hierfür sollen automatisierte schlechte Bewertungen eingesetzt werden. Sowohl das Landeskriminalamt als auch DEHOGA warnen vor den Erpresserschreiben. […]

Hybrid-Plattform - so verändert die Xbox das Gaming

Hybrid-Plattform

So verändert die Xbox das Gaming

Alle großen Konsolenhersteller arbeiten stetig an innovativen Möglichkeiten, die das Spielerlebnis noch weiter verbessern können. Die nächste Neuheit von Microsoft bei der Xbox soll eine hybride Spieleplattform sein, die für 2028 angekündigt wurde. […]

Sixth Generation – Weg für den Mobilfunkstandard der Zukunft geebnet

Sixth Generation

Weg für den Mobilfunkstandard der Zukunft geebnet

Während an vielen Orten bis jetzt nicht einmal das 5G-Netz ausgebaut ist, ist die nachfolgende Mobilfunkgeneration bereits in Planung. Die Sixth Generation (6G) soll einen bis zu hundertfach höheren Datendurchsatz ermöglichen. Bis das 6G-Netz allerdings verfügbar ist, werden noch einige Jahre vergehen. […]

Teurer Facebook-Post –  insgesamt 10 000 Euro wegen Badewannenfoto

Teurer Facebook-Post

Insgesamt 10 000 Euro wegen Badewannenfoto

Ein Facebook-Post vor Jahren, den der Verfasser bereits längst vergessen hatte, kostet diesen jetzt insgesamt 10 000 Euro. Denn nachdem der Künstler, der das Foto erstellte, klagte, bestätigte das OLG Köln die Urheberrechtsverletzung. Auch eine Verfassungsbeschwerde scheiterte. […]