eBay konnte Passwortklau nicht verhindern

Im zweiten Anlauf klappte die Live-Demo eines Sicherheitslochs bei eBay auch im Fernsehen. Das Online-Auktionshaus hatte vergeblich versucht, diese Vorführung mit einer einstweiligen Verfügung zu verhindern.

In Pocket speichern vorlesen Druckansicht 472 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Axel Kossel

Noch immer ist es Verkäufern auf eBay möglich, die Passwörter von Bietern abzufangen. Dazu genügt es, einige Zeilen JavaScript in die Artikelbeschreibung einzubauen, die den Bieter zur Passworteingabe unbemerkt auf eine fremde Seite entführen. stern TV demonstrierte dieses Sicherheitsloch in der Live-Sendung Mittwoch Abend vor laufender Kamera. eBay kennt das Problem nach eigener Aussage schon lange, hat aber bislang keine wirksamen Gegenmaßnahmen ergriffen. Allerdings versuchte das Online-Auktionshaus, die Live-Demonstration durch eine gerichtliche Verfügung zu stoppen.

Bereits am 15. Dezember hatte heise online auf eine Beispielauktion verlinkt, in der das Entwicklerteam von Validome die Umleitung per JavaScript online demonstrierte. Rund dreieinhalb Stunden konnten sich unsere Leser selbst von dem Problem überzeugen, ehe eBay die Auktion sperrte. Am Abend wollte stern TV die Demonstration live wiederholen, doch eBay gelang es, die vorbereiteten Auktionen rechtzeitig zu löschen. Oliver Weyergraf von eBay erklärte in der Sendung, eine Software spüre im Hintergrund Auktionen mit schädlichem JavaScript auf. Außerdem empfahl er die eBay-Toolbar, einen Zusatz für den Internet Explorer, als zuverlässigen Schutz gegen die Umleitung beim eBay-Login auf fremde Seiten.

Wie diese plötzlich aufgetauchte Suchfunktion arbeitet, ließ sich nicht klären; echten Schutz bietet sie jedoch offenbar nicht. Denn an den folgenden Tagen waren Versuche, das Sicherheitsloch auf etwas andere Art und Weise auszunutzen, wieder erfolgreich. stern TV entschloss sich daraufhin, eine weitere Live-Demo zu wagen.

eBay wurde darüber informiert und erwirkte eine einstweilige Verfügung gegen Alex Leporda von Validome, die ihm den Auftritt in der Sendung untersagte. Der Anwalt von Leporda, Tobias Strömer, erklärte gegenüber heise online, die einstweilige Verfügung sei aufgrund falscher Angaben ergangen. eBay habe sie mit der Begründung beantragt, dass Alex Leporda für die Sendung am 15. Dezember die Daten eines eBay-Mitglieds ohne dessen Wissen und Einverständnis ausspioniert und veröffentlicht habe. Dies sei unwahr, wie jeder Zuschauer der Sendung bestätigen könne, so Strömer.

Doch stern TV hatte ohnehin bereits jemand anderen für die zweite Live-Demo eingeplant. Wolfgang Krückels von Expert-Center Solutions spähte in der Sendung das Passwort eines Studiogastes aus -- natürlich mit dessen Einverständnis. Auf dem dafür eingesetzten Computer war sogar die eBay-Toolbar installiert, ohne dass diese vor der Gefahr warnte. Wolfgang Weber, Leiter Internet-Sicherheit bei eBay, erklärte dazu mehrfach: "Wir nehmen dieses Problem sehr ernst." Wann das Auktionshaus funktionierende Schutzmaßnahmen implementieren wird, konnte er jedoch nicht beantworten. (ad)