19.08.14 (MDR INFO) – Anfang des Jahres wurde gingen dem Internethändler ebay Kundendaten verloren. Im Mai berichtete MDR INFO über Sicherheitslücken, mit denen es möglich war, Kundendaten auszuspähen und auf Kosten der Kunden einzukaufen. Und nun gibt erneut mehrere Probleme bei ebay.
3,2,1 … meins. Dieser Werbespruch von ebay hatte bis Mittwoche eine ganz besondere Bedeutung. Denn die Datenbank mit allen Kunden- und Verkaufsinformationen war offenbar von außen zugänglich. Einer, der diese Lücke kannte, ist der Hacker Aria Akhavan aus Wien. Wichtig dabei sind die Adressen der Internetseiten, die meist mit „www“ anfangen und URL heißen.
Bei der Lücke, die geschlossen wurde, geht es darum, dass man über verschiedene URLs, die man eingibt, einen Code mit einschleusen kann, mit dem man die Datenbank auslesen kann. Man könnte Kundedaten gefährden. Und natürlich bekommt man dann auch das Admin-Login, mit dem man sich dann einloggen kann ins Admin-Panel. Man kann auf alles zugreifen, was auf den Servern von ebay vorhanden ist.
Ein Admin ist derjenige, der den Server kontrolliert und überall Zugang hat. Ob auf diesem Weg tatsächlich Daten abgegriffen wurden, ist nicht bekannt. Der Hacker informierte ebay über diese Sicherheitslücke – 24 Stunden später war sie geschlossen. MDR INFO liegt der Schriftwechsel mit ebay vor. Der Konzern musste bereits zugegeben, dass Ende Februar und Anfang März Kundendaten abhanden gekommen waren.
Zwei weitere Lücken sind noch offen. Hier lassen sich – vereinfacht gesagt – falsche Inhalte auf der richtigen ebay-Seite unterbringen. So ist es Aria Akhavan möglich einen Code einzuschleusen, …
… mit dem man Kunden-Daten einfach abfangen kann, bzw., man könnte, wenn man die Daten abfängt, sie per E-Mail weitersenden lassen oder man könnte die Seite komplett modifizieren und verändern. Man könnte Formulare einsetzen, die Kundendaten abfragen und diese dann einfach an einen Server weitersenden.
Natürlich kann man auch Downloads anbieten, die dann angeblich von ebay stammen, tatsächlich aber von einem fremden Server heruntergeladen werden. Darin ließe sich beliebige Schadsoftware verpacken. Der Nutzer würde sich dabei nichts denken, denn die Adresse im Browser lautet eindeutig „ebay.com“. Die wenigsten lesen sich lange URLs durch, doch in diesem Fall ließe sich feststellen, dass darin Befehle für den Server enthalten sind. Doch dafür müsste der Nutzer sich auskennen und wissen, dass hier etwas nicht stimmt.
Ebay Deutschland reagierte bislang nur mit einer schriftlichen Standardantwort. Es gäbe ein – so wörtlich – „mehrstufiges Sicherheitssystem (…), um die Verwendung von bösartigem Code zu verhindern und zu entdecken.“ Außerdem passe ebay seine Sicherheitssysteme kontinuierlich an, sobald man von neuen Formen von bösartigem Code erfahre.
Eine Sprecherin bat um Verständnis, dass man über den aktuellen Fall zunächst mit den entsprechenden Fachleuten in den USA Kontakt aufnehmen müsse.
Aktualisierung, 20.09.14
Ebay gab inzwischen folgende Stellungnahme ab:
Die Vulnerabilitäten, die Sie uns mitgeteilt haben, werden untersucht und adressiert. Eine der Vulnerabilitäten betraf einen SQLi Bug auf der Seite deals.ebay.com. Diese Vulnerabilität wurde bereits geschlossen. Dies geschah am Montag, den 15. September. Wir haben keinerlei Hinweise darauf, dass Kunden durch dieses Vulnerabilität beeinträchtigt wurden. Diese beseitigte Vulnerabilität ist in keinster Weise vergleichbar und steht in keiner Weise in Verbindung mit der Cyberattacke auf eBay früher in diesem Jahr. Es ist nicht zutreffend, dass durch diese Vulnerabilität eine Möglichkeit bestünden hätte, auf Kundendatenbaken von eBay zuzugreifen. Das eBay Corporate Network war durch diesen Bug nicht beeinträchtigt.
Bezüglich der weiteren Vulnerabilitäten, die Sie uns mitgeteilt haben, haben wir am Nachmittag des 18. September (deutsche Zeit) Informationen von dem hier involvierten Sicherheitsexperten erhalten. Diese werden derzeit untersucht und adressiert.
Wir nehmen alle Vulnerabilitäten, die uns gemeldet werden, sehr ernst und untersuchen diese im Kontext unserer gesamten Sicherheitsstruktur. Wir passen unsere Sicherheitssystem kontinuierlich auf neue Formen von Vulnerabilitäten an, sobald wir von diesen Kenntnis haben. Wir sind uns der Wichtigkeit bewusst, die Sicherheit von eBay und unseren Kunden zu gewährleisten. Wir betreiben ein sogenanntes „Responsible Disclosure Programm“, in dessen Rahmen wir mit Sicherheitsexperten zusammenarbeiten , um Vulnerabilitäten zu adressieren: http://pages.ebay.com/securitycenter/researchers.html.
Aktualisierung, 22.09.14
Nach Angaben einer ebay-Sprecherin sind jetzt auch die beiden restlichen Sicherheitslücken geschlossen. Es handelte sich XSS-Probleme.