Massive Sicherheitslücke im eBay Support Chat

Sie möchten Informationen über einen fremden eBay-Account, vielleicht über den der Konkurrenz? Das ist bei eBay in Großbritannien kein Problem. Britische eBay-Händler berichten bei Ina Steiner über eine massive Sicherheitslücke beim eBay Support-Chat.

Um Unterstützung zu erhalten, loggt man sich in seinen eigenen eBay-Account ein. Dann startet man eine Sitzung im eBay-Support-Chat. Dort ist es dann erneut notwendig, eine User-ID anzugeben, es wird kein weiteres Passwort benötigt! Es ist aber völlig egal, welche eBay User-ID man dort angibt, der Live-Support beantwortet alle Fragen zu dem soeben eingegebenen, auch fremden eBay-Account. 

Ina Steiner hat, um die Sicherheitslücke zu verifizieren, selbst getestet, ob es tatsächlich funktioniert. das Ergebnis war ernüchternd. Trotzdem sie in ihrem eigenen eBay-Account eingeloggt war, gab sie eine andere User-ID im Chat ein und siehe da, der Mitarbeiter beantwortete alle ihre Fragen zu dem anderen Account. Auf ihre Frage wohin die Mitschrift des Chat gesendet wird, gab der Mitarbeiter ihr die E-Mail Adresse des fremden Accounts, der seit 2002 registriert ist.

Einer der Händler, die die Sicherheitslücke an Steiner weitergaben und an eBay meldeten berichtet auch, dass sogar Änderungen an fremden Accounts vorgenommen wurden, obwohl sie in einem anderen Account eingeloggt war, einen Rechner nutzte der zuvor noch nie als Zugangsrechner genutzt wurde und über ein Netzwerk zugriff, über das sie zuvor noch nie auf eBay zugegriffen hatte.

Sie berichtete weiter, dass sie einige Fälle kenne, in denen Verkäufer sich als Käufer ausgegeben und im Chat angemeldet haben, um dann negatives Feedback entfernen zu lassen, was man versehentlich abgegeben hätte. Auch dieser Fall wurde getestet und verifiziert.

eBay reagiert erneut mangelhaft auf die angezeigte Sicherheitslücke
Steiner hat bereits am Sonntag eine Anfrage an eBay gestellt, ohne noch genaueres über das Problem zu wissen. Es kam, wie zu erwarten, keine Antwort. Als dann mehr Informationen bekannt waren, schrieb sie am Dienstag erneut an eBay und bekam auch tatsächlich eine Antwort, die mit dem allgemeinen Standardfloskeln beginnt. Sinngemäß antwortete eBay:

“… der Schutz der Kundeninformationen ist für uns von höchster Wichtigkeit. … wir haben uns intensiv angeschaut, was sie berichtet haben und korrektive Maßnahmen ergriffen. …”

Auf die erneute Anfrage, ob eBay plane die Kunden die den Live-Chat genutzt haben, über das Sicherheitsproblem zu informieren, hat eBay – wie üblich – nicht reagiert.

Man darf nun gespannt sein, ob eBay vom aktuellen russischen Datendiebstahl betroffen ist und falls ja, ob wann sie ihre Kunden darüber informieren werden. Ich hoffe für die Händler, dass die eBay aus den vorangegangenen Fällen gelernt hat… .

Der vergangene Angriff auf die Daten von 145 Millionen eBay Nutzer-Daten hat bei den Händlern einiges an Kopfschmerzen verursacht, denn der Vertrauensverlust in eBay und die Bezahltochter PayPal sind enorm.

 

 

Frank