Mögliche Account-Übernahme durch Sicherheitslücke bei eBay

Eine schon seit dem 05. August 2013 bestehende eBay-Sicherheitslücke gestattet es Angreifern per CSRF (Cross-Site-Request-Forgery), einer sogenannten Website-übergreifenden Anfragenfälschung in den Account des Opfers einzudringen, ohne das Passwort zu kennen. Dem Angreifer ist es nach dieser Attacke möglich, alle Daten im eBay-Account zu ändern und Käufe zu tätigen. Das Opfer der Attacke hätte keine Möglichkeit zu beweisen, dass es gehackt wurde.

Die Sicherheitslücke wurde eBay schon gemeldet, soll jedoch nach wie vor funktionieren. Der Angreifer benötigt keinen Zugriff auf den Account des Opfers, sondern verwendet eine veränderte Webseite, die zum Beispiel aufgerufen wird, wenn der Nutzer eine E-Mail öffnet.

Mehr dazu bei threatpost.com (englisch).