1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Account-Diebstahl durch schwere Sicherheitslücke bei eBay

Dieses Thema im Forum "eBay" wurde erstellt von Bastisdad, 10. August 2011.

  1. Bastisdad
    Offline

    Bastisdad VIP

    Registriert:
    2. Dezember 2007
    Beiträge:
    2.530
    Zustimmungen:
    1.896
    Punkte für Erfolge:
    0
    Ort:
    in der Nähe von
    Account-Diebstahl durch schwere Sicherheitslücke bei eBay


    Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde. Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten. Daraufhin wandte sich Sparka an heise Security.

    eBay bestätigte gegenüber uns das Problem und nahm die betroffene Seite nach unserem Anruf innerhalb von 24 Stunden vom Netz. Die Pressesprecherin bestätigte zudem, dass Kunden kritische Sicherheitslücken lediglich über das allgemeine Kontaktformular melden können. Genauso wie es unser Leser erfolglos versucht hat. Einen direkten Ansprechpartner für Sicherheitsfragen gibt es nicht. Bleibt nur zu hoffen, dass der Entdecker der nächsten kritischen Lücke nicht wieder nur mit allgemeinen Browsertipps abgespeist wird.

    Update:

    Ein Leser hat uns darauf aufmerksam gemacht, dass es zumindest auf der US-Seite von eBay eine Möglichkeit gibt, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure@ebay.com entgegen.


    Q.: heise.de
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. EnricoPalazzo
    Offline

    EnricoPalazzo Hacker

    Registriert:
    7. Januar 2011
    Beiträge:
    367
    Zustimmungen:
    141
    Punkte für Erfolge:
    43
    AW: Account-Diebstahl durch schwere Sicherheitslücke bei eBay

    Bei eBay hat man das Gefühl, dass dort keine Menschen arbeiten...irgendwie ähnlich gehts mir bei amazon. :emoticon-0143-smirk
     
    #2

Diese Seite empfehlen