eBay-Sicherheitslücke bestand mindestens sechs Monate lang
Anfang September wurde bekannt, dass Nutzer von eBay durch das Klicken auf gewisse Angebote auf bösartige Seiten umgeleitet wurden. eBay entfernte einige dieser Angebote und beschrieb es als singuläres Problem. BBC allerdings fand daraufhin mehrere Angebote von verschiedenen Nutzern, die alle dieselbe Schwachstelle ausnutzten.
eBay gab in einem Statement bekannt, dass es ein ganzes Team an der Sicherheit arbeiten lässt, aber dass die Kriminellen
„ihre Codes absichtlich immer wieder anpassen, sodass sie oft einen Schritt voraus sind“.
Ein Bericht eines Nutzers vom Februar zeigt, dass das Problem schon damals bestand. Beim Klicken auf Angebote zu Kameras gelangte er auf eine Seite, die versuchte, Passwörter abzuschöpfen. Dies stellt ein potenziell großes Sicherheitsrisiko für Nutzer von eBay dar, da es hunderte derartiger Angebote geben könnte.
eBays Suchfunktionen gestatten es, Angebote zu finden, die in maximal 15 Tagen beendet werden. BBC fand in diesen bei einer schnellen Recherche mindestens 64 Angebote, die eine Gefahr für die Nutzer darstellten. In allen Fällen wurde Cross-Site-Scripting (XSS) eingesetzt, um die Kontrolle über den Browser der Nutzer zu übernehmen. Ermöglicht wurde dies über aktive Inhalte in den Angeboten, die über Javascript oder Flash laufen.
Eine Sprecherin von eBay dazu:
„Viele unserer Verkäufer nutzen aktive Inhalte, um ihre Angebote attraktiver zu gestalten. Uns ist bewusst, dass aktive Inhalte auch missbräuchlich genutzt werden können.“
Weiter:
„Cross-Site-Scripting ist auf eBay nicht erlaubt und wir haben verschiedene Sicherheitsmaßnahmen, die derartige Angebote identifizieren und entfernen.“
eBay wurde von Sicherheitsexperten kritisiert, auf die Schwachstelle nicht schnell genug reagiert zu haben. Zwar wurden einige bösartige Angebote nach der Entdeckung entfernt, die zugrunde liegende Schwachstelle aber nicht behoben. XSS-Experte Ilia Kolochenko von High-Tech Bridge:
„Für große, komplizierte Seiten ist es schwer, vollkommen frei von XSS-Schwachstellen zu sein.“
Seiner Meinung nach sollten Schwachstellen aber zumindest sofort behoben werden, sobald das Risiko bekannt geworden ist.
„Wenn jemand ein Problem an eBay berichtet und diese Schwachstelle nicht sofort ausgebessert wird, ist das nicht gut.“
Auch Dr. Steven Murdoch vom University College in London stimmt dem zu:
„eBay ist ein großes Unternehmen und sollte ein rundum die Uhr aktives Krisenteam zur Verfügung stehen haben – gerade in einem solchen Fall.“
Er hatte die Möglichkeit, die bösartigen Webseiten zu untersuchen, bevor eBay diese Angebote entfernte. Die Seiten enthielten Code, die weitere bösartige Aktionen durchführen sollten. Seiner Meinung rangiert
„Cross-Site-Scripting unter den Top Ten Risiken, deren sich Webseitenbetreiber bewusst sein müssen.“
Das ist nicht der erste technische problembehaftete Vorfall, dem eBay in den letzten Monaten gegenüber steht. Immer wieder traten Fälle auf, in denen Nutzer über gewisse Zeiträume hinweg nicht auf ihre Konten zugreifen konnten und Meldungen über falsche Passworteingaben erhielten.
Im Mai forderte das Unternehmen die Nutzer dazu auf, ihre Passwörter zu ändern, nachdem eine Datenbank mit verschlüsselten Passwörtern kompromittiert wurde.
Artikel von bbc.com, 19.09.2014: eBay security flaw has existed for months
Artikel von scmagazine.com, 18.09.2014: eBay addresses XSS issue affecting auction page visitors
Artikel von bbc.com, 17.09.2014: eBay redirect attack puts buyers‘ credentials at risk