Identitätsdiebstahl
12.01.2016, 23:41 Uhr
eBay behebt kritische Sicherheitslücke
Ein Bug in eBays Sicherheitssystem hätte es Hackern ermöglichen können, über XSS Zugangsdaten von Usern abzugreifen. Die Lücke wurde nun behoben.
(Quelle: Shutterstock.com/Maksim Kabakou)
Von Katharina Schneider
Eine Sicherheitslücke bei eBay hätte es Angreifern ermöglichen können, Passwörter einzelner Kundenkonten auszuspionieren und damit die Konten zu übernehmen. Nun hat das Unternehmen darauf reagiert - ehe ein solcher Übergriff stattgefunden hat.
Ein unabhängiger Sicherheitsforscher, der sich MLT nennt, hatte das Unternehmen aus San José eigenen Angaben zufolge bereits am 11. Dezember auf einen Bug hingewiesen, mit dem über XSS Zugangsdaten von Nutzern gehackt werden können. eBay habe nach einer Antwort allerdings aufgehört, dem Forscher zurückzuschreiben. Die Lücke wurde erst behoben, als Motherboard.com mit der Geschichte Anfang Januar auf eBay zukam.
Laut dem Forscher, der sich MLT nennt, hätten mithilfe des Bugs die Accounts von Millionen von eBay-Usern übernommen werden können. Ausserdem wäre es möglich gewesen, Zugangsdaten zu sammeln, indem man Phishing Mails an die Nutzer schickt.
"Grosse Unternehmen kümmern sich nicht um XSS-Anfälligkeit"
Grund ist eine hohe Anfälligkeit für XSS, besonders bei grossen Seiten, wie MLT in einem Blogpost erklärt. Ausserdem betont er, wie wenig sich grosse Unternehmen darum kümmern. Beispiel ist für ihn das Verhalten von eBay.
XSS oder Cross Site Scripting ist das Ausnutzen einer Sicherheitslücke auf Computern. Verhindert das Serverscript das nicht, werden manipulierte Daten an den User gesendet. Die suggerieren, er befände sich in einem vertrauenswürdigen Kontext. Die Daten sind oft Code von JavaScript.
Mit XSS kann zum Beispiel ein Link zu einer Phishing Seite in die reguläre URL von eBay gesetzt werden, dass es so aussieht, als wäre es die Login-Seite von eBay. Auch optisch sieht die Seite identisch aus. Gibt der User dann Benutzername und Passwort ein, bekommt er eine Fehlermeldung. Zuvor werden die Daten jedoch abgegriffen.
Technologien können XSS verhindern
Laut MLT ist das Problem, besonders bei eBay, dass die Hauptdomain so anfällig für XSS ist. Dafür gebe es allerdings keine Entschuldigung. Denn mittlerweile existieren Technologien, die Cross Site Scripting verhindern können. Facebook hatte zum Beispiel in der Vergangenheit häufig Probleme mit dem Bug, aber nun die richtigen Sicherheitsmassnahmen ergriffen, die einen XSS-Angriff verhindern. eBay hingegen hatte bereits im letzten Jahr mit einem XSS-Bug zu kämpfen. Der Marktplatz-Riese brauchte ein Jahr, um das Problem aus der Welt zu schaffen.
eBay-Sprecher Ryan Moore sagte in der vergangenen Woche, dass sich das Unternehmen in der Pflicht sieht, einen sicheren Marktplatz für seine Kunden zu schaffen. Man würde schnell an der Behebung arbeiten. Am Montag wurde die Lücke geschlossen.
Offenbar wurde der Bug aber von niemandem ausgenutzt.
