Eine Lücke bei eBay ermöglicht es, dass Angebotslinks aus der Suche heraus nicht auf den Artikel führen, sondern auf Seiten umleiten, die dann das Passwort des Nutzers abfangen wollen. Das berichtet BBC und weist gleichzeitig darauf hin, dass die Lücke bereits seit Monaten besteht. Aufgedeckt wurde die Lücke erst diese Woche (eBay wusste aber bereits seit Februar davon), laut eBay handelt es sich um Einzelfälle, denen auch nachgegangen wurde. BBC fand jedoch auch danach weiter solche Einträge, von verschiedenen Nutzern, die alle die gleiche Lücke ausnutzen.
Ermöglicht wird die Weiterleitung eines eBay-Listings durch Cross-Site Scripting, das in den Suchergebnissen platziert wird. eBay äußerte am Freitag, dass es sich nicht um ein neues Problem auf Seiten wie eBay handelt. Es liege daran, dass eBay Inhalte wie Flash oder Javascript erlaubt. Cross-Site Scripting sei zwar nicht erlaubt, allerdings durch eben diese „aktiven Inhalte“ möglich. Auch hat eBay diverse Schutzmechanismen, die Schadcode erkennen sollen, damit solche Listings direkt aussortiert werden. Anscheinend nicht sehr effektiv.
eBay wird von Sicherheitsexperten für das Vorgehen kritisiert. Zwar werden die Listings entfernt, aber es wurde eben noch keine Maßnahme getroffen, um so etwas künftig zu verhindern. BBC entdeckte 64 Einträge, die diese Lücke ausnutzen, alle aus dem Zeitraum der letzten 2 Wochen. Wann eBay dahingehend reagiert, und die Lücke schließt, ist nicht absehbar. Bedenkt man, dass diese Lücke bereits im Februar an eBay gemeldet wurde, sollte im September ein solches Vorgehen nicht mehr möglich sein.
Solltet Ihr Ebay viel nutzen und über Einträge stolpern, die Euch komisch vorkommen, schaut besser zweimal hin, bevor Ihr ein Passwort eingebt. Alternativ gibt es natürlich auch andere Online-Plattformen, bei denen Ihr günstige Waren erwerben könnt.