eBay: Weitere Schwachstellen, erzwungener Passwortwechsel
Die Sicherheitsprobleme bei eBay nehmen noch kein Ende. Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid. Außerdem hat es damit begonnen, seine Nutzer zum Passwortwechsel zu zwingen.
- Ronald Eikenberg
Der deutsche Sicherheitsforscher Stefan Schurtz hat ausgerechnet im Registrierungsprozess von eBay zwei sogenannte Cross-Site-Scripting-Lücken (XSS) entdeckt, durch die ein Angreifer Javascript-Code in die Site einschleusen kann.
Dieser Code kann etwa das Sitzungs-Cookie angreifen und an einen anderen Server übertragen oder aber auch das Registrierungsformular umleiten. Schurtz gibt an, eBay bereits Ende Januar über das Kontaktformular für Security-Experten auf die Lücken aufmerksam gemacht zu haben.
heise Security konnte beide Lücken nachvollziehen und hat das Online-Auktionshaus kontaktiert. Laut einer ersten Stellungnahme ist dem Unternehmen zumindest einer der beiden Schwachstellen tatsächlich bekannt – man arbeite bereits daran, sie zu beseitigen.
Vorherige Lücke noch nicht geschlossen
In Arbeit ist auch noch eine Lösung für die von Michael Eissele entdeckte Schwachstelle, über die wir Ende vergangener Woche berichteten. Eissele ist es ebenfalls gelungen, JavaScript an eBays Filtermechanismen vorbei zu schleusen. In seinem Fall wird der Code sogar als Teil der Auktionsdaten bei eBay gespeichert (Persistent XSS). eBay erklärte gegenüber heise Security, dass die Lücke noch "in Begriff sei, beseitigt zu werden"
Passwort wechsel Dich
Die XSS-Lücken stehen laut derzeitigem Kenntnisstand in keiner Verbindung mit dem erfolgreichen Hacker-Angriff, bei dem bislang unbekannte Täter auf die Daten aller eBay-Nutzer zugreifen konnten. Das Unternehmen hat nach diesem Vorfall alle 145 Millionen Kunden zum Passwort-Wechsel aufgefordert. Wer das bisher nicht erledigt hat, wird nun gezwungen: Nach und nach werden die eBay-Nutzer nach dem Einloggen dazu aufgefordert, ein neues Passwort zu setzen – sofern nicht bereits geschehen.
Erst danach kann man die registrierungspflichtigen eBay-Dienste wieder wie gewohnt nutzen. Wer einwilligt, dem schickt eBay einen Bestätigungscode per Mail oder SMS. Alternativ kann man sich auch anrufen lassen, woraufhin ein Sprachcomputer den Code vorliest. Der Bestätigungscode ist zwingend notwendig, um die Passwortänderung durchführen zu können. Bei einem Test von heise Security endete der Prozess zwar mit einer Fehlermeldung, das Passwort wurde aber dennoch geändert. (rei)
