Trotz Passwortwechsel

Einmal kompromittierte Ebay-Konten bleiben Gefahr

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Wurde ein Ebay-Account schon einmal kompromittiert, ist sein rechtmäßiger Besitzer auch nach einem Passwortwechsel gefährdet - darauf weist ein deutscher Hacker hin. Ebay scheint dieses Sicherheitsrisiko aber nicht zu stören.

Gerade erst riet das Online-Auktionshaus allen seinen Nutzern, ihr Passwort zu ändern - nachdem Unbekannte alle 145 Millionen Nutzerdatensätze kopierten. Ebay-Nutzer sollten schnell handeln - denn wurde ihr Konto erst einmal durch Dritte unrechtmäßig verwendet, ist es auch nach einem Passwortwechsel quasi wertlos. Darauf weist der deutsche Hacker Michael Eissele hin. Er habe bereits Anfang Februar an das Ebay-Security-Team geschrieben, um die Möglichkeit einer persistenten Cross-Site-Scripting-Attacke (XSS) zu melden, die unter anderem den Angriff und Diebstahl von Sitzungscookies und den Einbau von Backdoors ermöglicht. Es lasse sich beliebiger JavaScript-Code ausführen, der dann zum elementaren Bestandteil der Auktion auf dem Ebay-Server wird und nicht sitzungsabhängig ist. JavaScript ist bei Ebay zwar grundsätzlich möglich, aber nicht unbeschränkt - eigentlich. Durch seine Attacke sei es beispielsweise möglich, mithilfe des "erweiterten Editors" Drive-by-Download-Auktionen zu erstellen, um damit Trojaner auf fremde Rechner einzuschleusen, so Eissele.

Über eine XSS-Attacke lässt sich innerhalb einer Auktion beliebiger JavaScript-Code ausführen.
Über eine XSS-Attacke lässt sich innerhalb einer Auktion beliebiger JavaScript-Code ausführen.

Eissele hat sein Proof of Concept an Ebay geschickt, außer Allgemeinplätzen und Hinhalte-Mails aber bis heute keine konkrete Antwort bekommen. Zunächst hieß es seitens Ebay nur: "Unsere Security-Entwickler haben entschieden, dass es sich um ein akzeptables Risiko für unser Geschäft handelt." Nach erneuter Nachfrage Eisseles dann: "Bitte geben Sie uns noch etwas Zeit, uns die Angelegenheit noch einmal anzuschauen.". To be continued…