eBay behebt kritische Sicherheitslücke

Aufgrund einer Sicherheitslücke bei eBay hätten Angreifer Passwörter einzelner Kundenkonten ausspionieren und damit die Konten übernehmen können. Die Sicherheitslücke war bereits seit Dezember 2015 bekannt. Nun hat das das Unternehmen aus San José darauf reagiert - ehe ein solcher Übergriff stattgefunden hat.

Ein unabhängiger Sicherheitsforscher, der sich MLT nennt, hatte Ebay eigenen Angaben zufolge bereits am 11. Dezember 2015 auf einen Bug hingewiesen, mit dem sich per Cross-Site-Scripting (XSS) Zugangsdaten von Nutzern hacken ließen. eBay habe nach einer Antwort allerdings aufgehört, dem Forscher zurückzuschreiben. Die Lücke wurde erst behoben, als Motherboard.tv mit der Geschichte Anfang Januar auf eBay zukam.

eBay-Sicherheitslücke: So leicht ließen sich eBay-Konten knacken.

Laut den Angaben von MLT, hätten Hacker mithilfe des Bugs die Accounts von Millionen von eBay-Usern übernehmen können. Außerdem wäre es möglich gewesen, Zugangsdaten zu sammeln, indem man Phishing Mails an die Nutzer schickt.

eBay-Sprecher Ryan Moore sagte in der vergangenen Woche, dass sich das Unternehmen in der Pflicht sieht, einen sicheren Marktplatz für seine Kunden zu schaffen. Man würde schnell an der Behebung arbeiten. Am Montag wurde die Lücke geschlossen. Offenbar wurde der Bug in der Zwischenzeit von niemandem ausgenutzt.

MLT betont in seinem Blogpost allerdings, dass sich große Unternehmen bislang nur unzureichend um die Gefahr von XSS-Angriffen kümmern. Bestes Beispiel ist für ihn das Verhalten von eBay. Der Online-Marktplatz hatte bereits im letzten Jahr mit einem XSS-Bug zu kämpfen. eBay brauchte allerdings ein Jahr, um das Problem aus der Welt zu schaffen.

XSS oder Cross Site Scripting ist das Ausnutzen von Sicherheitslücken in Webanwendungen. Verhindert das Serverscript das nicht, werden manipulierte Daten an den User gesendet. Diese Daten sind oft Code einer clientseitigen Skriptsprache, meist JavaScript, und suggerieren dem Anwender, er befände sich in einem vertrauenswürdigen Kontext.

Auf diese Weise lässt sich zum Beispiel ein Link zu einer Phishing Seite in die reguläre Webseite von eBay setzen, so dass es aussieht, als wäre es die Login-Seite von eBay. Auch optisch sieht die Seite identisch aus. Gibt der User dann Benutzername und Passwort ein, bekommt er eine Fehlermeldung. Zuvor werden die Daten jedoch abgegriffen.

Laut MLT ist das Problem, besonders bei eBay, dass die Hauptdomain so anfällig für XSS ist. Dafür gebe es allerdings keine Entschuldigung, denn mittlerweile existieren Technologien, die Cross Site Scripting verhindern. So hatte Facebook in der Vergangenheit ebenfalls häufig Probleme mit XSS-Angriffen. Inzwischen hat das Unternehmen aber die richtigen Sicherheitsmaßnahmen ergriffen, die Cross Site Scripting verhindern.