eBay weiter unter Druck – die Hackerangriffe gehen weiter

Die BBC hat herausgefunden, dass mehr als 100 Artikeleinstellungen auf eBay Großbritannien gefakte Angebote waren. Diese dienten nur dazu, an persönliche Informationen der Nutzer zu gelangen. Führende Sicherheitsforscher haben eBay mittlerweile dazu aufgefordert, unverzüglich Maßnahmen zu übergreifen, um diese sicherheitsgefährdenden Angebote von der Plattform zu entfernen. Das Problem berge große Gefahren für die eBay-Nutzer.

Das Wochenende über haben Kunden Kontakt zur BBC aufgenommen und erklärten, dass sie versucht hätten, eBay über das Problem in Kenntnis zu setzen. Das Unternehmen antwortete, es würde „weiterhin alle Webseiten-Funktionen und Inhalte überprüfen“.

eBay unter Druck – die Hackerangriffe gehen weiter
eBay weiter unter Druck - die Hackerangriffe gehen weiter 1

Die BBC fand im Einzelnen heraus, dass

  • Benutzerkonten gehackt wurden, um die gefälschten Inserate zu platzieren. Viele der Konten hatten 100% positives Feedback, Hunderte von Artikeln verkauft.
  • Ein Opfer, dessen Konto gekapert wurde, sagte der BBC, dass er gesperrt wurde – und später von eBay eine Rechnung über Verkäufergebühren von etwa 35 britischen Pfund erhielt, für Gegenstände, die er nicht versteigert hatte. Laut seinen Aussagen hatte er sich an eBay gewandt, erhielt allerdings keine Antwort, außer der Gebührenrechnung.
  • Wenn Kunden ein gefaktes Angebot anklickten, wurden sie auf eine anspruchsvolle, offiziell aussehende Webseite geleitet. Die ahnungslosen Kunden wurden dann aufgefordert sich einzuloggen und die Bankverbindung anzugeben.
  • Das Spektrum an Gegenständen das angeboten wurde,  reichte von Smartphones und Fernsehgeräten bis hin zu Whirlpools und Bekleidung.

Javascript und Flash-Inhalte werden von Händlern häufig in Angebotsseiten platziert, um die Seiten durch Animationen oder andere auffällige Techniken spannender zu gestalten. Die Verwendung von Javascript und Flash, eBay bestätigte das laut BBC auch, erhöht die Wahrscheinlichkeit deutlich, dass Schadcodes in die Seiten eingebunden werden, eine Hacker-Technik, die als Cross-Site Scripting (XSS) bekannt ist.

Das Problem auf der eBay-Webseite sei schon seit Februar bekannt, so die BBC. Experten jedoch sagen, dass es bereits seit über einem Jahr existiert.

In einer Erklärung schrieb eBay: „Viele unserer Verkäufer verwenden aktive Inhalte wie Javascript und Flash, um ihre eBay-Angebote interessanter darstellen zu können. … Wir planen jedoch nicht, aktive Inhalte von eBay entfernen. Allerdings werden wir auch weiterhin alle Website-Funktionen und Inhalte in Zusammenhang mit dem Nutzen, den sie unseren Kunden sowie die allgemeine Sicherheit zu bringen Website zu überprüfen.“

Diese Haltung eBays kritisieren die Sicherheitsexperten. Es sei nicht okay, Cross-Site-Scripting-Schwachstellen auf der Website zu zulassen, so Mikko Hypponen von der Sicherheitsfirma F-Secure. Wenn sie es nicht schafften das Risiko des Cross-Site-Scripting in den Griff zu bekommen, müsste eBay aktive Inhalte verbieten.

Der Sicherheitsforscher Brian Honan forderte eBay auf, aktive Inhalte so lange zu deaktivieren, bis eBay die Kunden wieder beruhigt habe. „Javascript und Flash und all das wunderbare Zeug zu nutzen ist großartig für den Verkäufer“, sagte er der BBC. Doch setzt es eBay und seine Kunden Sicherheitsrisiken aus. Bis eBay die Möglichkeit hat  betrügerische Links automatisch zu identifizieren, sollte es Javascript deaktivieren. Und zwar so lange bis man einen Weg gefunden habe das Risiko zu kontrollieren. „Die Bedürfnisse der vielen überwiegen die Bedürfnisse der wenigen.“

Dr. Steven Murdoch vom University College London (Information Security Research Group), fügte hinzu: „Die Verkäufer verwenden aktive Inhalte, aber ich glaube ein sehr großer Teil des Bedarfs könnte mit von eBay bereitgestelltem Javascript, das sorgfältig von eBay  überprüft wurde, erfüllt werden.“

Als Antwort auf das Thema Kontoübernahme von oben angeführtem eBay- Nutzer erklärte eBay: „Kontoübernahmen passieren in der Regel als Ergebnis einer ID-Offenlegung oder der Herausgabe des Passwortes.“ Leider sei es eine gängige Praxis von Kriminellen bekannte, vertrauenswürdigen Marken wie eBay zu nutzen, um Kunden auf eine gefälschte Website zu locken oder in andere betrügerische Situationen zu bringen.

Joss Wright, ein Sicherheitsexperte des Oxford Internet Institute, sagte angesichts der vielen Negativ-Beispiele, sei es für eBay dringend erforderlich, seine Praktiken ernsthaft zu überprüfen, um das Vertrauen aufrechtzuerhalten. eBay stehe vor der Schwierigkeit, die Webseite in der Benutzung für den Kunden einfach zu halten und gleichzeitig ein hohes Maß an Sicherheit zu bieten. Es werde sehr schwer für eBay, die Webseite sicher zu machen ohne die Benutzerfreundlichkeit stark zu minimieren. „Aber ich denke, dass sie ihr Gleichgewicht sehr viel weiter in Richtung Sicherheit bewegen müssen, als es aktuell der Fall ist.“