eBay: Sicherheitslücke ermöglicht Umleitung von Nutzern auf gefährliche Webseiten

Eine Lücke bei eBay ermöglicht es, dass Angebotslinks aus der Suche heraus nicht auf den Artikel führen, sondern auf Seiten umleiten, die dann das Passwort des Nutzers abfangen wollen. Das berichtet BBC und weist gleichzeitig darauf hin, dass die Lücke bereits seit Monaten besteht. Aufgedeckt wurde die Lücke erst diese Woche (eBay wusste aber bereits seit Februar davon), laut eBay handelt es sich um Einzelfälle, denen auch nachgegangen wurde. BBC fand jedoch auch danach weiter solche Einträge, von verschiedenen Nutzern, die alle die gleiche Lücke ausnutzen.

eBay

Ermöglicht wird die Weiterleitung eines eBay-Listings durch Cross-Site Scripting, das in den Suchergebnissen platziert wird. eBay äußerte am Freitag, dass es sich nicht um ein neues Problem auf Seiten wie eBay handelt. Es liege daran, dass eBay Inhalte wie Flash oder Javascript erlaubt. Cross-Site Scripting sei zwar nicht erlaubt, allerdings durch eben diese „aktiven Inhalte“ möglich. Auch hat eBay diverse Schutzmechanismen, die Schadcode erkennen sollen, damit solche Listings direkt aussortiert werden. Anscheinend nicht sehr effektiv.

eBay wird von Sicherheitsexperten für das Vorgehen kritisiert. Zwar werden die Listings entfernt, aber es wurde eben noch keine Maßnahme getroffen, um so etwas künftig zu verhindern. BBC entdeckte 64 Einträge, die diese Lücke ausnutzen, alle aus dem Zeitraum der letzten 2 Wochen. Wann eBay dahingehend reagiert, und die Lücke schließt, ist nicht absehbar. Bedenkt man, dass diese Lücke bereits im Februar an eBay gemeldet wurde, sollte im September ein solches Vorgehen nicht mehr möglich sein.

Solltet Ihr Ebay viel nutzen und über Einträge stolpern, die Euch komisch vorkommen, schaut besser zweimal hin, bevor Ihr ein Passwort eingebt. Alternativ gibt es natürlich auch andere Online-Plattformen, bei denen Ihr günstige Waren erwerben könnt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Sollte man doch merken, wenn man vorher schon eingeloggt war und man plötzlich nochmal sein PW eingegeben muss, oder nicht? Das würde mir definitiv komisch vorkommen.

  2. Hatte ich Caschy bereits im Februar geschrieben und ein Video gesandt, als es uns in der Fa. selbst so ging und wir beinahe unsere Anmelde-Daten eingegeben hätten:
    https://www.youtube.com/watch?v=I3TJD1WtQOk

  3. Meines Erachtens ist dieses Verhalten „typisch eBay“. „Joa, wir wissen davon, naja, kann man nichts gegen machen.“ Jede Schrottwebsite bekommt es mittlerweile hin, XSS effektiv zu blockieren; nur eBay nicht. Vor 2 Monaten gab es doch mal ein ähnliches Problem mit den Artikelseiten. Auch dort konnte XSS implementiert werden und auch damals war die Antwort von eBay „Ja, wir wissen seit Längerem davon“.

    Ich weiß ehrlich gesagt nicht, warum ich Javascript auf Artikelseiten oder gar in der Suche erlauben sollte. PayPal, welches ja zu eBay gehört ist ebenfalls nicht gerade die Speerspitze der SIcherheitsstandards. So nutzt PayPal beispielsweise noch RC4, um ihre SSL-Sessions zu verschlüsseln. Auch davon wird mittlerweile überall abgeraten.

    Manchmal habe ich das Gefühl, dass eBay einfach nur ein riesiger Witz ist, den ich nicht verstehe…

  4. @Wohn_Jayne: dagegen hilft z. B. ScriptSafe (Chrome) oder NoScript (Firefox). Beide können Cross Site Scripting unterbinden (Scriptsafe: „blocks cross-domain XML HTTP Requests from being made“)

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.