computerwoche.de

Security

eBay: "Nicht relevant"

Initiative sieht eBay-Sicherheitslücke

13.03.2008
Über eine Sicherheitslücke beim Internet-Auktionshaus eBay sollen Kriminelle dem Bericht einer Verbraucherinitiative zufolge detaillierte Daten von eBay-Nutzern wie Name, Wohnort, Bankverbindungen und E-Mail-Adresse abgreifen können.

Dabei reiche es aus, dass ein ahnungsloser Besucher sich einlogge und eine Angebotsseite aufrufe, berichtete die Initiative "Falle Internet" am Mittwoch. Nach Angaben von eBay hat die beschriebene Schwachstelle allerdings "keine Relevanz". "Wir setzen uns seit geraumer Zeit mit dieser Problematik auseinander", sagte eBay-Sprecherin Maike Fuest der Deutschen Presse-Agentur dpa. Dem Unternehmen sei kein einziger Fall bekannt, in dem die beschriebene Schwachstelle über die weit verbreitete Flash-Funktion "ActionScript" ausgenutzt worden wäre.

Die von "Falle Internet" beschriebene Möglichkeit des Missbrauchs entsteht durch das Einbinden von aktiven Inhalten wie Flash-Animationen auf den Auktionsseiten. Über solche aktiven Inhalte ließen sich mit Schadprogrammen Daten ausspähen und manipulieren. Dieses sogenannte Cross Site Scripting (XSS) sei ein bereits seit einigen Jahren bekanntes Problem, sagte Daniel Bachfeld, Redakteur des Fachmagazins "c't".

Nach einem ähnlichen Fall von möglichem Missbrauch hatte eBay die Nutzung solcher aktiver Inhalte mit JavaScript oder Flash im September 2005 an bestimmte Kriterien geknüpft. Seither dürfen nur als vertrauenswürdig geprüfte Nutzer wie Powerseller mit mindestens 500 Bewertungen oder verifizierte PayPal-Mitglieder solche Elemente in ihre Seiten einbinden.

Der nicht eingetragene Verein «Falle Internet» hält diese Hürden für zu niedrig und fordert von dem Auktionshaus, interaktive Flash-Inhalte generell von dem Marktplatz zu verbannen. "Hacker haben über Phishing-Mails genügend eBay-Accounts", sagte Burkhard Müller von "Falle Internet".

EBay-Sprecher Nerses Chopurian schätzt einen möglichen Missbrauch über den geschilderten Weg dagegen als eher theoretisch ein. Eine Herausforderung für die Sicherheit stellten viel eher ganz normale Schadprogramme wie Trojanische Pferde dar, sagte Chopurian. "Der Aufwand wäre für einen Verbrecher sehr hoch, das können Sie mit normalem Phishing viel effektiver haben." eBay setzt als zusätzliche Schutzmaßnahme nach eigenen Angaben bereits Technologien ein, um solche Schadsoftware zu erkennen und entsprechend manipulierte Angebote zu entfernen. (dpa/tc)