Sie sind hier: Home | News | Verbraucherschutz | Sicherheitslücke bei eBay: Persönliche Daten gefährdet

Falle-internet.de deckt Schwachstelle auf, eBay dementiert

Sicherheitslücke bei eBay: Persönliche Daten gefährdet

Sicherheitslücke bei eBay: Persönliche Daten gefährdet Bei den Auktionen auf eBay geht es um echtes Geld, deshalb sollten Nutzer ihre Daten unter Verschluss halten. Die Website falle-internet.de hat jetzt eine Sicherheitslücke aufdeckt: Per Flash-Animation auf Auktionsseiten können Kriminelle persönliche Daten wie Anschrift oder E-Mail automatisch auslesen.

Inhaltsverzeichnis

  1. 1"Mein eBay" wird "deren eBay"
  2. 2Schwachpunkt Cross-Site-Scripting
  3. 3Demonstration durch falle-internet.de
  4. 4Erste Reaktion: Drohen statt Dank
  5. 5Aktuell: Stellungnahme von eBay
  6. 6Empfehlung: Skript- und komfortfrei

"Mein eBay" wird "deren eBay"

Das Tückische an der Schwachstelle: Das bei eBay eingeloggte Opfer muss die Seite, auf der sich die manipulierte Auktion befindet, lediglich aufrufen - weitere Klicks oder eigenmächtiges Handeln ist nicht erforderlich. Kriminelle erhalten so Zugriff auf sämtliche Informationen, welche die Mitglieder unter Mein eBay angegeben haben. Dazu gehören:

  • Name und vollständige Anschrift
  • E-Mail-Adresse
  • Bankdaten (in Teilen unkenntlich gemacht
  • Kreditkarten-Infos (in Teilen unkenntlich gemacht)
  • Passwort-Sicherheitsfrage
  • Gekaufte Produkte
  • Erfolglose Gebote
  • Beobachtete Artikel
  • Gesendete und empfangene Mittelungen
Werbung

Mit diesen Daten könnten Kriminelle viel Unwesen treiben: Gefälschte Angebote oder Second-Chance-Offers sowie Passwort-Phishing über manipulierte Websites sind die beliebtesten Vorhaben. Denn mit den kompletten persönlichen Informationen der Mitglieder ausgestattet, erscheinen die Betrüger in einem seriösen Licht und werden oftmals nicht verdächtigt.

Schwachpunkt Cross-Site-Scripting

Wie ist diese Sicherheitslücke möglich? Die Täter nutzen das so genannte Cross-Site-Scripting (XSS) aus, um die Falle auf eBay-Seiten zu implementieren. In vielen Situationen - Foren, Gästebüchern und Textformularen - ist es ausdrücklich erwünscht, dass ein Nutzer selbst Code auf einer Seite platzieren kann. Sind dem durch fehlende Filter nicht ausreichende Grenzen gesetzt, kann auch Schadcode veröffentlicht werden.

Seite 1 / 3

Links zum Thema

Kommentieren