Bastisdad
Power Elite User
Account-Diebstahl durch schwere Sicherheitslücke bei eBay
Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde. Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten. Daraufhin wandte sich Sparka an heise Security.
eBay bestätigte gegenüber uns das Problem und nahm die betroffene Seite nach unserem Anruf innerhalb von 24 Stunden vom Netz. Die Pressesprecherin bestätigte zudem, dass Kunden kritische Sicherheitslücken lediglich über das allgemeine Kontaktformular melden können. Genauso wie es unser Leser erfolglos versucht hat. Einen direkten Ansprechpartner für Sicherheitsfragen gibt es nicht. Bleibt nur zu hoffen, dass der Entdecker der nächsten kritischen Lücke nicht wieder nur mit allgemeinen Browsertipps abgespeist wird.
Update:
Ein Leser hat uns darauf aufmerksam gemacht, dass es zumindest auf der US-Seite von eBay eine Möglichkeit gibt, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure@ebay.com entgegen.
Q.: heise.de
Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde. Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten. Daraufhin wandte sich Sparka an heise Security.
eBay bestätigte gegenüber uns das Problem und nahm die betroffene Seite nach unserem Anruf innerhalb von 24 Stunden vom Netz. Die Pressesprecherin bestätigte zudem, dass Kunden kritische Sicherheitslücken lediglich über das allgemeine Kontaktformular melden können. Genauso wie es unser Leser erfolglos versucht hat. Einen direkten Ansprechpartner für Sicherheitsfragen gibt es nicht. Bleibt nur zu hoffen, dass der Entdecker der nächsten kritischen Lücke nicht wieder nur mit allgemeinen Browsertipps abgespeist wird.
Update:
Ein Leser hat uns darauf aufmerksam gemacht, dass es zumindest auf der US-Seite von eBay eine Möglichkeit gibt, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure@ebay.com entgegen.
Q.: heise.de
