15.12.2004 13:36
Ihr eBay-Passwort: 3, 2, 1 -- meins [Update]
In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt, doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.
Die Demo setzt voraus, dass Sie den Internet Explorer benutzen und Active Scripting zulassen (Standardeinstellung). Geben Sie auf keinen Fall Ihre echten eBay-Zugangsdaten an, sondern erfinden Sie andere. Die Beschränkung auf den Internet Explorer ist notwendig, da Validome das JavaScript kodiert hat, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universellere Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert. Wenn Sie bei der Demo genau hinsehen, erkennen Sie die feinen Unterschiede zwischen der gefälschten Anmeldeseite und der echten von eBay. Natürlich erfolgt die Anmeldung nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sagen, dass dies nicht wieder eine Änderung in der eBay-Software ist?
Stern TV (heute 22.15 Uhr auf RTL) hat einen Beitrag zum Thema Passwortklau bei eBay geplant, in dem eBay zu den Vorwürfen Stellung nehmen soll. Das Online-Auktionshaus sieht sich wachsendem Druck ausgesetzt, zumal am letzten Wochenende eine weitere Sicherheitslücke bekannt wurde, die der Student Jörn H. der Computerbild gemeldet hatte. Diese ermöglicht zwar nicht den Diebstahl von Mitgliedsdaten, aber unter bestimmten Umständen die Abgabe von Geboten unter fremden Accounts sowie die Manipulation der bevorzugten Lieferadresse in deren Benutzerkonto.
eBay nimmt dieses Problem ernst und hat angekündigt, es voraussichtlich Anfang Januar durch ein Software-Update zu beheben. Bis dahin sollte man auf E-Mails von eBay achten, die Gebote melden, die man nicht abgegeben hat. Niemand muss fürchten, Ware abnehmen zu müssen, die er nicht gekauft hat. Denn etwa nach Ansicht des Landgerichts Bonn (AZ 2 O 472/03) reicht die Identifikation mittels Passwort nicht als Beweis, dass ein Mitglied ein Gebot tatsächlich abgegeben hat.
Mehr Informationen zu der Demo und zum Passwort-Phishing mit JavaScript in eBay-Auktionen finden Sie im Hintergrundbericht eBay-Passwortklau auf heise security.
Update: Leider kommen Sie zu spät. eBay hat die von uns verlinkte Auktion nach dreieinhalb Stunden aus dem System entfernt.
(ad)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
