13.01.2016
Identitätsdiebstahl
1. Teil: „eBay behebt kritische Sicherheitslücke“
eBay behebt kritische Sicherheitslücke
Autor: Katharina Schneider
Ingvar Bjork / Shutterstock.com
Ein Bug in eBays Sicherheitssystem hätte es Hackern ermöglichen können, über XSS Zugangsdaten von Usern abzugreifen. Die Lücke wurde nun behoben.
Aufgrund einer Sicherheitslücke bei eBay hätten Angreifer Passwörter einzelner Kundenkonten ausspionieren und damit die Konten übernehmen können. Die Sicherheitslücke war bereits seit Dezember 2015 bekannt. Nun hat das das Unternehmen aus San José darauf reagiert - ehe ein solcher Übergriff stattgefunden hat.
Ein unabhängiger Sicherheitsforscher, der sich MLT nennt, hatte Ebay eigenen Angaben zufolge bereits am 11. Dezember 2015 auf einen Bug hingewiesen, mit dem sich per Cross-Site-Scripting (XSS) Zugangsdaten von Nutzern hacken ließen. eBay habe nach einer Antwort allerdings aufgehört, dem Forscher zurückzuschreiben. Die Lücke wurde erst behoben, als Motherboard.tv mit der Geschichte Anfang Januar auf eBay zukam.
Laut den Angaben von MLT, hätten Hacker mithilfe des Bugs die Accounts von Millionen von eBay-Usern übernehmen können. Außerdem wäre es möglich gewesen, Zugangsdaten zu sammeln, indem man Phishing Mails an die Nutzer schickt.
2. Teil: „XSS-Anfälligkeit wird all zu oft ignoriert“
XSS-Anfälligkeit wird all zu oft ignoriert
eBay-Sprecher Ryan Moore sagte in der vergangenen Woche, dass sich das Unternehmen in der Pflicht sieht, einen sicheren Marktplatz für seine Kunden zu schaffen. Man würde schnell an der Behebung arbeiten. Am Montag wurde die Lücke geschlossen. Offenbar wurde der Bug in der Zwischenzeit von niemandem ausgenutzt.
MLT betont in seinem Blogpost allerdings, dass sich große Unternehmen bislang nur unzureichend um die Gefahr von XSS-Angriffen kümmern. Bestes Beispiel ist für ihn das Verhalten von eBay. Der Online-Marktplatz hatte bereits im letzten Jahr mit einem XSS-Bug zu kämpfen. eBay brauchte allerdings ein Jahr, um das Problem aus der Welt zu schaffen.
XSS oder Cross Site Scripting ist das Ausnutzen von Sicherheitslücken in Webanwendungen. Verhindert das Serverscript das nicht, werden manipulierte Daten an den User gesendet. Diese Daten sind oft Code einer clientseitigen Skriptsprache, meist JavaScript, und suggerieren dem Anwender, er befände sich in einem vertrauenswürdigen Kontext.
Auf diese Weise lässt sich zum Beispiel ein Link zu einer Phishing Seite in die reguläre Webseite von eBay setzen, so dass es aussieht, als wäre es die Login-Seite von eBay. Auch optisch sieht die Seite identisch aus. Gibt der User dann Benutzername und Passwort ein, bekommt er eine Fehlermeldung. Zuvor werden die Daten jedoch abgegriffen.
Laut MLT ist das Problem, besonders bei eBay, dass die Hauptdomain so anfällig für XSS ist. Dafür gebe es allerdings keine Entschuldigung, denn mittlerweile existieren Technologien, die Cross Site Scripting verhindern. So hatte Facebook in der Vergangenheit ebenfalls häufig Probleme mit XSS-Angriffen. Inzwischen hat das Unternehmen aber die richtigen Sicherheitsmaßnahmen ergriffen, die Cross Site Scripting verhindern.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Innenstädte in Gefahr
Handelsverband warnt vor den Folgen von Ladenschließungen
Angesichts der besorgniserregenden Entwicklung im stationären Einzelhandel betont der Deutsche Handelsverband (HDE) die Gefahr, dass ganze Innenstädte zu „Geisterstädten“ werden könnten und appelliert an die Politik.
>>
Trendwende
Konsumenten sehen Silberstreif am Horizont
Erstmals seit Beginn der Lebenshaltungskostenkrise gibt es Anzeichen für einen Wendepunkt in der Mentalität der Verbraucher. Das zeigen Daten des Behavior Change Report der Consumer Panel Services GfK.
>>