Sicherheitsloch in Passwort-Abfrage bei eBay [Update]

Beim Online-Auktionshaus eBay ist ein Sicherheitsloch aufgetaucht, das es Betrügern ermöglicht, beliebige User-Accounts zu kapern, ohne das Passwort zu kennen. Ein Sprecher von eBay.com bestätigte, dass es Probleme mit der Funktion "Änderung des eBay-Passwortes" gebe. Solange das Sicherheitsrisiko nicht ausgeräumt sei, bleibe die Funktion deaktiviert.

Erst vor einer Woche war bekannt geworden, dass Betrüger in den letzten Monaten hunderten eBay-Kunden ihr Passwort gestohlen hatten. Die Betrüger starteten dann Versteigerungen hochwertiger Produkte, kassierten das Geld und meldeten sich nie wieder. eBay führte das Account-Kidnapping in erster Linie auf leicht zu erratende Passwörter zurück. Gleichzeitig wurde eingeräumt, dass die Passwortabfrage "verbesserungswürdig" sei, weil beim Login beliebig oft falsche Passwörter eingegeben werden können, ohne dass der Account -- wie bei anderen Zugangssystemen üblich -- gesperrt wird.

Über das nun neu zu Tage getretene Sicherheitsloch informiert eBay auf seiner Website nicht. In den Mitteilungen hieß es lapidar, dass es "derzeit leider überhaupt nicht möglich" sei, das Passwort zu ändern. Man wolle das Problem binnen 24 Stunden lösen. Inzwischen ist die Passwort-Änderungsfunktion wieder verfügbar. (hod)