eBay: Sicherheitslücke ermöglicht Umleitung von Nutzern auf gefährliche Webseiten

20. September 2014 Kategorie: Backup & Security, Internet, geschrieben von:

Eine Lücke bei eBay ermöglicht es, dass Angebotslinks aus der Suche heraus nicht auf den Artikel führen, sondern auf Seiten umleiten, die dann das Passwort des Nutzers abfangen wollen. Das berichtet BBC und weist gleichzeitig darauf hin, dass die Lücke bereits seit Monaten besteht. Aufgedeckt wurde die Lücke erst diese Woche (eBay wusste aber bereits seit Februar davon), laut eBay handelt es sich um Einzelfälle, denen auch nachgegangen wurde. BBC fand jedoch auch danach weiter solche Einträge, von verschiedenen Nutzern, die alle die gleiche Lücke ausnutzen.

eBay

Ermöglicht wird die Weiterleitung eines eBay-Listings durch Cross-Site Scripting, das in den Suchergebnissen platziert wird. eBay äußerte am Freitag, dass es sich nicht um ein neues Problem auf Seiten wie eBay handelt. Es liege daran, dass eBay Inhalte wie Flash oder Javascript erlaubt. Cross-Site Scripting sei zwar nicht erlaubt, allerdings durch eben diese „aktiven Inhalte“ möglich. Auch hat eBay diverse Schutzmechanismen, die Schadcode erkennen sollen, damit solche Listings direkt aussortiert werden. Anscheinend nicht sehr effektiv.

eBay wird von Sicherheitsexperten für das Vorgehen kritisiert. Zwar werden die Listings entfernt, aber es wurde eben noch keine Maßnahme getroffen, um so etwas künftig zu verhindern. BBC entdeckte 64 Einträge, die diese Lücke ausnutzen, alle aus dem Zeitraum der letzten 2 Wochen. Wann eBay dahingehend reagiert, und die Lücke schließt, ist nicht absehbar. Bedenkt man, dass diese Lücke bereits im Februar an eBay gemeldet wurde, sollte im September ein solches Vorgehen nicht mehr möglich sein.

Solltet Ihr Ebay viel nutzen und über Einträge stolpern, die Euch komisch vorkommen, schaut besser zweimal hin, bevor Ihr ein Passwort eingebt. Alternativ gibt es natürlich auch andere Online-Plattformen, bei denen Ihr günstige Waren erwerben könnt.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9401 Artikel geschrieben.