zurück zum Artikel

Ihr eBay-Passwort: 3, 2, 1 -- meins [Update]

In einer Live-Demo[1] zeigt das Entwicklerteam von Validome[2], wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt[3], doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.

Die Demo setzt voraus, dass Sie den Internet Explorer benutzen und Active Scripting zulassen (Standardeinstellung). Geben Sie auf keinen Fall Ihre echten eBay-Zugangsdaten an, sondern erfinden Sie andere. Die Beschränkung auf den Internet Explorer ist notwendig, da Validome das JavaScript kodiert hat, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universellere Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert. Wenn Sie bei der Demo genau hinsehen, erkennen Sie die feinen Unterschiede zwischen der gefälschten Anmeldeseite und der echten von eBay. Natürlich erfolgt die Anmeldung nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sagen, dass dies nicht wieder eine Änderung in der eBay-Software ist?

Stern TV[4] (heute 22.15 Uhr auf RTL) hat einen Beitrag zum Thema Passwortklau bei eBay geplant, in dem eBay zu den Vorwürfen Stellung nehmen soll. Das Online-Auktionshaus sieht sich wachsendem Druck ausgesetzt, zumal am letzten Wochenende eine weitere Sicherheitslücke bekannt[5] wurde, die der Student Jörn H. der Computerbild gemeldet hatte. Diese ermöglicht zwar nicht den Diebstahl von Mitgliedsdaten, aber unter bestimmten Umständen die Abgabe von Geboten unter fremden Accounts sowie die Manipulation der bevorzugten Lieferadresse in deren Benutzerkonto.

eBay nimmt dieses Problem ernst und hat angekündigt, es voraussichtlich Anfang Januar durch ein Software-Update zu beheben. Bis dahin sollte man auf E-Mails von eBay achten, die Gebote melden, die man nicht abgegeben hat. Niemand muss fürchten, Ware abnehmen zu müssen, die er nicht gekauft hat. Denn etwa nach Ansicht des Landgerichts Bonn (AZ 2 O 472/03[6]) reicht die Identifikation mittels Passwort nicht als Beweis, dass ein Mitglied ein Gebot tatsächlich abgegeben hat.

Mehr Informationen zu der Demo und zum Passwort-Phishing mit JavaScript in eBay-Auktionen finden Sie im Hintergrundbericht eBay-Passwortklau[7] auf heise security.

Update: Leider kommen Sie zu spät. eBay hat die von uns verlinkte Auktion nach dreieinhalb Stunden aus dem System entfernt. (ad[8])


URL dieses Artikels:
http://www.heise.de/-121850

Links in diesem Artikel:
[1] http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=6139327813
[2] http://www.validome.de
[3] https://www.heise.de/meldung/Sicherheitsluecke-war-eBay-lange-bekannt-Update-105885.html
[4] http://www.sterntv.de
[5] https://www.heise.de/meldung/Angeblich-Sicherheitsluecke-bei-eBay-121130.html
[6] http://www.justiz.nrw.de/RB/nrwe/lgs/bonn/lg_bonn/j2003/2_O_472_03urteil20031219.html
[7] https://www.heise.de/security/artikel/eBay-Passwortklau-270612.html
[8] mailto:ad@ct.de