Trotz Passwortwechsel

Einmal kompromittierte Ebay-Konten bleiben Gefahr

23.05.2014
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Wurde ein Ebay-Account schon einmal kompromittiert, ist sein rechtmäßiger Besitzer auch nach einem Passwortwechsel gefährdet - darauf weist ein deutscher Hacker hin. Ebay scheint dieses Sicherheitsrisiko aber nicht zu stören.

Gerade erst riet das Online-Auktionshaus allen seinen Nutzern, ihr Passwort zu ändern - nachdem Unbekannte alle 145 Millionen Nutzerdatensätze kopierten. Ebay-Nutzer sollten schnell handeln - denn wurde ihr Konto erst einmal durch Dritte unrechtmäßig verwendet, ist es auch nach einem Passwortwechsel quasi wertlos. Darauf weist der deutsche Hacker Michael Eissele hin. Er habe bereits Anfang Februar an das Ebay-Security-Team geschrieben, um die Möglichkeit einer persistenten Cross-Site-Scripting-Attacke (XSS) zu melden, die unter anderem den Angriff und Diebstahl von Sitzungscookies und den Einbau von Backdoors ermöglicht. Es lasse sich beliebiger JavaScript-Code ausführen, der dann zum elementaren Bestandteil der Auktion auf dem Ebay-Server wird und nicht sitzungsabhängig ist. JavaScript ist bei Ebay zwar grundsätzlich möglich, aber nicht unbeschränkt - eigentlich. Durch seine Attacke sei es beispielsweise möglich, mithilfe des "erweiterten Editors" Drive-by-Download-Auktionen zu erstellen, um damit Trojaner auf fremde Rechner einzuschleusen, so Eissele.

Über eine XSS-Attacke lässt sich innerhalb einer Auktion beliebiger JavaScript-Code ausführen.
Über eine XSS-Attacke lässt sich innerhalb einer Auktion beliebiger JavaScript-Code ausführen.

Eissele hat sein Proof of Concept an Ebay geschickt, außer Allgemeinplätzen und Hinhalte-Mails aber bis heute keine konkrete Antwort bekommen. Zunächst hieß es seitens Ebay nur: "Unsere Security-Entwickler haben entschieden, dass es sich um ein akzeptables Risiko für unser Geschäft handelt." Nach erneuter Nachfrage Eisseles dann: "Bitte geben Sie uns noch etwas Zeit, uns die Angelegenheit noch einmal anzuschauen.". To be continued…