Cookie-Klau durch zwei Monate alte eBay-Lücke
In Auktionen eingeschleuste Skripte können Sitzungs-Cookies angreifen oder auch Malware verbreiten. eBay ist offenbar seit zwei Monaten informiert, hat das Problem aber bislang nicht behoben.
- Ronald Eikenberg
Durch eine Sicherheitslücke ist es offenbar möglich, beliebigen JavaScript-Code in Auktionen zu platzieren. Der Code kann angeblich dazu genutzt werden, die Session-Cookies der Auktionsbesucher abzugreifen oder Malware zu verbreiten. Es handelt sich um sogenanntes persistentes Cross-Site-Scripting (XSS) – persistent, weil der eingeschleuste Code als Bestandteil der Auktionsdaten auf dem eBay-Server gespeichert wird.
Entdeckt hat die Lücke Michael Eissele, der eBay bereits vor zwei Monaten auf das Problem aufmerksam gemacht haben will. In einem heise Security vorliegenden Schriftwechsel zwischen Eissele und eBays Sicherheitsabteilung kommt das Online-Auktionshaus zwischenzeitlich zu dem Schluss, dass es sich um ein vertretbares Risiko handele. Nachdem Eissele das Unternehmen darauf hinwies, dass dies ein Trugschluss sei, versprach eBay das Problem erneut zu untersuchen. Daraufhin hat sich das Online-Auktionshaus nicht mehr bei ihm gemeldet.
Grundsätzlich ist der Einsatz von JavaScript bei eBay zwar nicht verboten, aber mit strengen Auflagen verbunden. Eigentlich kann man den Code nur in die Auktionsbeschreibung einbetten, das von Eissele präsentierte Proof-of-Concept nutzt allerdings ein anderes Element der Auktionsdaten. Gegenüber heise Security erklärte das Unternehmen, dass man ein mehrstufiges Sicherheitssystem aufgebaut habe, "um die Verwendung von bösartigem Code zu verhindern und zu entdecken". Dieses hat im aktuellen Fall offenbar nicht gegriffen. eBay sagte, dass man die vorliegenden Informationen mit dem konkret dargestellten Szenario schnellstmöglich prüfen" werde.
Mit dem erfolgreichen Hacker-Angriff auf das Online-Auktionshaus, bei dem die Daten von 145 Millionen Nutzern kopiert wurden, hat die XSS-Lücke nichts zu tun. (rei)
