eBay: Sicherheitslücke ermöglicht Umleitung von Nutzern auf gefährliche Webseiten
Eine Lücke bei eBay ermöglicht es, dass Angebotslinks aus der Suche heraus nicht auf den Artikel führen, sondern auf Seiten umleiten, die dann das Passwort des Nutzers abfangen wollen. Das berichtet BBC und weist gleichzeitig darauf hin, dass die Lücke bereits seit Monaten besteht. Aufgedeckt wurde die Lücke erst diese Woche (eBay wusste aber bereits seit Februar davon), laut eBay handelt es sich um Einzelfälle, denen auch nachgegangen wurde. BBC fand jedoch auch danach weiter solche Einträge, von verschiedenen Nutzern, die alle die gleiche Lücke ausnutzen.
Ermöglicht wird die Weiterleitung eines eBay-Listings durch Cross-Site Scripting, das in den Suchergebnissen platziert wird. eBay äußerte am Freitag, dass es sich nicht um ein neues Problem auf Seiten wie eBay handelt. Es liege daran, dass eBay Inhalte wie Flash oder Javascript erlaubt. Cross-Site Scripting sei zwar nicht erlaubt, allerdings durch eben diese „aktiven Inhalte“ möglich. Auch hat eBay diverse Schutzmechanismen, die Schadcode erkennen sollen, damit solche Listings direkt aussortiert werden. Anscheinend nicht sehr effektiv.
eBay wird von Sicherheitsexperten für das Vorgehen kritisiert. Zwar werden die Listings entfernt, aber es wurde eben noch keine Maßnahme getroffen, um so etwas künftig zu verhindern. BBC entdeckte 64 Einträge, die diese Lücke ausnutzen, alle aus dem Zeitraum der letzten 2 Wochen. Wann eBay dahingehend reagiert, und die Lücke schließt, ist nicht absehbar. Bedenkt man, dass diese Lücke bereits im Februar an eBay gemeldet wurde, sollte im September ein solches Vorgehen nicht mehr möglich sein.
Solltet Ihr Ebay viel nutzen und über Einträge stolpern, die Euch komisch vorkommen, schaut besser zweimal hin, bevor Ihr ein Passwort eingebt. Alternativ gibt es natürlich auch andere Online-Plattformen, bei denen Ihr günstige Waren erwerben könnt.
Sollte man doch merken, wenn man vorher schon eingeloggt war und man plötzlich nochmal sein PW eingegeben muss, oder nicht? Das würde mir definitiv komisch vorkommen.
Hatte ich Caschy bereits im Februar geschrieben und ein Video gesandt, als es uns in der Fa. selbst so ging und wir beinahe unsere Anmelde-Daten eingegeben hätten:
https://www.youtube.com/watch?v=I3TJD1WtQOk
Meines Erachtens ist dieses Verhalten „typisch eBay“. „Joa, wir wissen davon, naja, kann man nichts gegen machen.“ Jede Schrottwebsite bekommt es mittlerweile hin, XSS effektiv zu blockieren; nur eBay nicht. Vor 2 Monaten gab es doch mal ein ähnliches Problem mit den Artikelseiten. Auch dort konnte XSS implementiert werden und auch damals war die Antwort von eBay „Ja, wir wissen seit Längerem davon“.
Ich weiß ehrlich gesagt nicht, warum ich Javascript auf Artikelseiten oder gar in der Suche erlauben sollte. PayPal, welches ja zu eBay gehört ist ebenfalls nicht gerade die Speerspitze der SIcherheitsstandards. So nutzt PayPal beispielsweise noch RC4, um ihre SSL-Sessions zu verschlüsseln. Auch davon wird mittlerweile überall abgeraten.
Manchmal habe ich das Gefühl, dass eBay einfach nur ein riesiger Witz ist, den ich nicht verstehe…
@Wohn_Jayne: dagegen hilft z. B. ScriptSafe (Chrome) oder NoScript (Firefox). Beide können Cross Site Scripting unterbinden (Scriptsafe: „blocks cross-domain XML HTTP Requests from being made“)