Neue Sicherheitslücke bei Ebay

MDR INFO, 26.05.14
–> Beitrag anhören

Bei Ebay gibt es eine neue Sicherheitslücke. Damit ist es möglich, dass Angreifer Kundendaten ausspähen und auf Kosten der Kunden einkaufen können. Ebay selbst hat bislang nicht reagiert und bestreitet die Schwere der Lücke. Ich habe mir die Sicherheitslücke von ihrem Entdecker zeigen lassen.
Eigentlich müsste Ebay-Verkaufsseite  schon geschlossen sein, denn sie enthält eine  Sicherheitslücke. Entdeckt hat diese Michael Eissele aus Nordrhein-Westfalen – im Privatleben ein Hacker und auch beruflich zuständig für Sicherheit im Internet.

Bei der Lücke handelt es sich um ein sogenanntes Cross-Side-Scripting. Dadurch kann ein Angreifer auf Ebay-Seiten Schadcode einbetten, der dann ausgeführt wird, wenn ein Nutzer eine präparierte Auktionsseite aufruft.

Screenshot der präparierten Ebay-Seite: Zur Probe ist das Script, welches den Fehler
erzeugt, sichtbar und öffnet ein Fenster mit einer „1“ in einem Kasten.

Im aktuellen Fall ist die Seite zwar präpariert, aber es passiert nichts Gefährliches. Michael Eissele will lediglich die Sicherheitslücke bei Ebay demonstrieren und verändert Kleinigkeiten auf der Seite. Möglich ist das, weil er über das Verkaufsformular nicht nur den Artikelnamen eingibt, sondern auch Programmierbefehle – ein sogenannten Code.

Nachdem man den Artikelnamen eingegeben hat, danach kommt dann ein JavaScript-Code und der kann entweder unsichtbar ausgeführt werden, man kann aber auch die ganze Seite optisch verändern. Also, im Prinzip kann man alles mit der Seite machen, was man möchte. Es sind eigentlich auch keine Limits gesetzt.

Keine Limits heißt beispielsweise, dass ein Schadcode die Anmeldeinformationen des Käufers ausliest und diese an eine beliebige Adresse im Internet schickt. So kann dann die vollständige Identität des Käufers übernommen und später in seinem Namen eingekauft werden. Der Käufer würde davon beim Besuch auf der Seite nichts merken – erst wenn das Konto ungeplante Abbuchungen vermerkt, dürfte das Problem auffallen.

Ebay wurde über die Sicherheitslücke vor zwei Monaten durch Michael Eissele  informiert. Seitdem passierte nichts. Ebay stufte das Sicheitsproblem als hinnehmbar ein. Auch auf Nachfrage von MDR INFO hieß es schriftlich:

Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken.

Und weiter heißt es, dass Technologien eingesetzt werden, die – so wörtlich  – …

… die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Nur genau das hat Michael Eissele mit seiner Versuchsseite vorgeführt: Er konnte einen Schadcode genau an dieser Stelle einfügen. Deshalb ist für ihn klar:

Da ist zwar ein mehrstufiges Sicherheitssystem vorhanden, seitens Ebay wurde das zumindest so gesagt, aber das ist scheinbar nicht mehr auf dem neusten Stand. Man kann diese Filter von Ebay ziemlich leicht umgehen.

Erst vor wenigen Tagen war bekannt geworden, dass bei Ebay 145 Millionen Datensätze der Kunden gestohlen wurden. Auch in dem Fall hatte es mehrere Monate gedauert, bis Ebay mit der Information an die Öffentlichkeit ging.

Aktualisierung, 26.05.14, 19:15

Ebay teilte am Abend mit, man wolle die bei MDR INFO dargestellte Sicherheitslücke auf der Homepage beheben. Eine Sprecherin sagte: “Dies ist komplex und deswegen ein Prozess, der zumindest ein wenig Zeit dauert.”

(c) Michael Voß, www.michael-voss.de

Author: Michael Voß

Schreibe einen Kommentar