Sicherheitslücke war eBay lange bekannt [Update]

Ganz so im Dunkeln, wie zunächst angenommen, scheint eBay bei der am Wochenende bekannt gewordenen Sicherheitslücke doch nicht zu tappen -- immerhin kennt man nun die Ursache: JavaScript.

In Pocket speichern vorlesen Druckansicht 395 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Ganz so im Dunkeln wie zunächst angenommen, scheint eBay bei der am Wochenende bekannt gewordenen Sicherheitslücke doch nicht zu tappen -- immerhin kennt man nun die Ursache. Das Problem beruht auf der vom Auktionshaus gegenüber den Kunden eingeräumten Möglichkeit, beim Einstellen von Waren neben Texten und Bildern auch eigenes JavaScript in die Angebotsseiten einzubetten. Damit können Anbieter nicht nur ihre Seiten verschönern, sondern beispielsweise auch eBay-Logins fälschen und umleiten, um an Passwörter von Bieter zu gelangen. Im Forum zur Meldung vom gestrigen Sonntag wurden zahlreiche JavaScript-Code-Schnipsel gepostet, die die Sicherheitslücke demonstrierten.

eBay selbst gibt zu, dass das Problem lange bekannt sei, allerdings handele es sich nach Ansicht des Unternehmens um eine rein theoretische Sicherheitslücke. Dennoch will man sich heute mit Björn N., dem mutmaßlichen Entdecker der Lücke, zusammensetzen und die Möglichkeiten eines Beratungsvertrages ausloten. Der erste Kontakt vor bereits einem Jahr brach nach Angaben des Auktionshauses nach den überzogenen Forderungen von Björn N. ab. Der Computerspezialist soll eine siebenstellige Summe für die Preisgabe seines Wissen verlangt haben.

Interessant ist, dass eBay JavaScript in den Seiten von Kunden für eine theoretische Sicherheitslücke hält. Seit langem gilt unter Entwicklern und Anbietern beispielsweise Cross-Site-Scripting aufgrund fehlender Code-Filterung als Schwachstelle in Web-Servern und -Applikationen. Angreifer schleusen so JavaScript in die Browser von Opfern und führen ihn in vertrauenswürdigen Sicherheitszonen aus, um an Authentifizierungs-Cookies zu gelangen. Hier musste der Angreifer aber quasi über Bande spielen, um erfolgreich zu sein -- bei eBay bekommt er alle Werkzeuge direkt in die Hand.

eBay arbeitet mittlerweile an dem Problem. Bis dahin empfiehlt der Anbieter, die eBay-Toolbar zu benutzen, mit der sich Angriffe feststellen lassen. Alternativ können Anwender auch JavaScript im Browser abschalten.

Mit der Sicherheitslücke auf eBay beschäftigt sich auch der Kommentar auf heise Security: Aus der Verantwortung stehlen (dab)