Laut IT-Spezialist hat eBay weitere Sicherheitsprobleme durch Cross-Site-Scripting

Veröffentlicht am von

Bei eBay gibt es nach Recherchen von MDR INFO eine neue Schwachstelle bei der Sicherheit. Angreifer sollen Käuferdaten ausspähen und auf Kosten der Nutzer einkaufen können!

Michael Voß von MDR hat sich die Sicherheitslücke von Michael Eissele, der die Lücke vor rund zwei Monaten entdeckte, zeigen lassen. Michael Eissele soll eBay bereits auf das Problem aufmerksam gemacht haben. In einem heise Security vorliegenden Schriftwechsel zwischen Eissele und eBays Sicherheitsabteilung kommt eBay zwischenzeitlich zu dem Schluss, dass es sich um ein vertretbares Risiko handele. Nachdem Eissele das Unternehmen darauf hinwies, dass dies aus seiner Sicht ein Irrtum sei, versprach eBay das Thema nochmals zu prüfen. Danach hat sich das Unternehmen nicht mehr bei ihm gemeldet.

Laut IT-Spezialist hat eBay weitere Sicherheitsprobleme durch Cross-Site-Scripting
Laut IT-Spezialist hat eBay weitere Sicherheitsprobleme durch Cross-Site-Scripting 1

Auf Nachfrage von MDR INFO hieß es schriftlich: „Uns ist bewusst, dass es Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken.“ Es würden Technologien eingesetzt, die so eBay in seinem Schreiben, „Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.“

Eissele erklärt:„Bei der Lücke handelt es sich um das sogenannte Cross-Site-Scripting. Dadurch kann ein Angreifer auf eBay-Seiten Schadcode einbetten, der dann ausgeführt wird, wenn ein Nutzer eine präparierte Auktionsseite aufruft.“ Machbar ist das, weil der User und damit eben auch Hacker über das Verkaufsformular außer dem Artikelnamen auch Programmierbefehle eingeben können. Eissle: „Nachdem man den Artikelnamen eingegeben hat, kommt ein Java-Script-Code. Der kann entweder unsichtbar ausgeführt werden, oder aber man verändert die ganze Seite optisch.“ Im Prinzip könne man eigentlich alles mit der Seite machen. Limits seien keine gesetzt.

Mehr zum Thema
  • Podcast: Viele Wege, ein Ziel: Erfolgreich über Multichannel verkaufen
  • Neue kostenlose Messe für den Einstieg in den digitalen Handel: eBay auf der //geh.digital am 14. Juni
  • Podcast: Stammkunden gewinnen und binden – so gelingt's!
  • Reduzierung der Multi-Faktor-Authentifizierung bei eBay über vertrauenswürdige Geräte

    • Das bedeutet, dass ein Schadcode die Registrierinformationen des eBay-Käufers ausliest und diese dann an irgendeine Adresse im World Wide Web sendet. Die komplette Identität des Käufers kann auf diese Art und Weise übernommen werden. Danach kann in seinem Namen bestellt werden. Der Käufer merke davon beim Besuch auf der Seite nichts. Erst wenn das Konto ungeplante Abbuchungen vermerkt, falle das Problem auf.

    Michael Eissele führte mit seiner Versuchsseite vor, dass er einen Schadcode genau an dieser Stelle integrieren konnte. Für ihn ist daher klar: „Da ist zwar ein mehrstufiges Sicherheitssystem vorhanden, seitens eBay wurde das zumindest so gesagt, aber das ist scheinbar nicht mehr auf dem neusten Stand.“ Man könne diese Filter von eBay relativ einfach umgehen.

    Letzte Artikel von Ellen (Redakteur) (Alle anzeigen)