Ebay sorgt für mehr Sicherheit

Sicherheitslücke bei eBay

Eine XSS-Sicherheitslücke bei eBay stellte über einen längeren Zeitraum eine Gefahr für die Nutzer der Seite dar. Kriminelle hätten über diese Lücke Zugangsdaten abgreifen, Konten übernehmen oder Phishing-Mails verschicken können. Das XSS-Problem ist schon länger bekannt, es bedurfte aber mehrerer Hinweise von außen, bevor eBay reagierte. Mittlerweile wurde die Sicherheitslücke geschlossen, ohne dass jemand zu Schaden kam.

Was war das Problem? – Die Sicherheitslücke bei eBay

In eBays System befand sich eine Sicherheitslücke, über die Angreifer mittels XSS (Cross Side Scripting) sowohl Kundendaten abgreifen als auch eBay-Konten übernehmen oder Phishing-Mails hätten verschicken können. Die eBay Hauptdomain ist besonders anfällig für solche Attacken. Hierbei schleusen die Angreifer ein gefälschtes Log-In-Fenster ein. Wenn der Nutzer hier seine Daten eingibt, erhält er eine Fehlermeldung und die Informationen werden abgefischt. Ebenso ist es möglich, Transaktionen über die Nutzerkonten der eBay-User durchzuführen oder Phishing-Mails an diese zu verschicken. Die gewonnenen Daten dienen aber nicht nur für eigene Einkäufe bei eBay, sondern können auch für viel Geld verkauft werden.

Idealo Content

Hilfe von außen – So wurde eBay auf das Problem aufmerksam

Ein unabhängiger Forscher, der sich selbst MLT nennt, hat die Sicherheitslücke entdeckt und eBay darauf aufmerksam gemacht. Das Unternehmen hat das Problem zur Kenntnis genommen, die Kommunikation mit dem Forscher aber schnell wieder abgebrochen. Als ein Onlinemagazin mit Schwerpunkt Technologie auf eBay zukam, wurde die Konzernführung aktiv. Laut MLT ist das typisch für viele solcher Unternehmen. Sie kümmerten sich angeblich nicht ausreichend um die Sicherheit ihres Onlineangebots. Und das, obwohl es mittlerweile zahlreiche Technologien und Möglichkeiten gibt, um sich vor XSS zu schützen. Wie ein aktives Vorgehen gegen Sicherheitslücken und Gefahren für Nutzerdaten aussehen kann, hat Facebook im vergangenen Jahr mit seinem Kampf gegen einen systeminternen schädlichen Bug gezeigt.

Die getroffenen Maßnahmen – So hat eBay auf die Sicherheitslücke reagiert

Die gute Nachricht vorweg: Mittlerweile hat eBay die XSS-Sicherheitslücke geschlossen und somit einen Angriff von außen auf das System unwahrscheinlicher gemacht. Der Anspruch der eBay-Führung besteht darin, einen sicheren Marktplatz anzubieten, auf dem die Nutzer ungestört ihre Transaktionen durchführen können. Allerdings ist der Erfolg von eBay nicht so groß, wie es vielleicht scheinen mag. So hatte der Onlinegigant bereits im vergangenen Jahr mit einem Bug zu kämpfen. Dessen Beseitigung und die Schaffung eines erneut sicheren Umfelds hat über ein Jahr in Anspruch genommen. Umso erschreckender ist es, dass die XSS-Sicherheitslücken immer noch nicht vollständig geschlossen waren und ein direkter Angriff möglich gewesen wäre. MLT kritisiert scharf, dass die eBay-Hauptdomain trotz aller bekannten Maßnahmen immer noch so anfällig für XSS ist. Es bleibt zu hoffen, dass eBay dieses Mal erfolgreich alle Sicherheitslücken geschlossen hat und die Nutzerdaten sicher im System sind.

Idealo Content

Kommentieren Sie den Artikel