Eure Ebaydaten... 3 2 1 seins..

[Vincinzerei]

In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt, doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.  

Die Demo setzt voraus, dass Sie den Internet Explorer benutzen und Active Scripting zulassen (Standardeinstellung). Geben Sie auf keinen Fall Ihre echten eBay-Zugangsdaten an, sondern erfinden Sie andere. Die Beschränkung auf den Internet Explorer ist notwendig, da Validome das JavaScript kodiert hat, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universellere Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert. Wenn Sie bei der Demo genau hinsehen, erkennen Sie die feinen Unterschiede zwischen der gefälschten Anmeldeseite und der echten von eBay. Natürlich erfolgt die Anmeldung nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sagen, dass dies nicht wieder eine Änderung in der eBay-Software ist?

Stern TV (heute 22.15 Uhr auf RTL) hat einen Beitrag zum Thema Passwortklau bei eBay geplant, in dem eBay zu den Vorwürfen Stellung nehmen soll. Das Online-Auktionshaus sieht sich wachsendem Druck ausgesetzt, zumal am letzten Wochenende eine weitere Sicherheitslücke bekannt wurde, die der Student Jörn H. der Computerbild gemeldet hatte. Diese ermöglicht zwar nicht den Diebstahl von Mitgliedsdaten, aber unter bestimmten Umständen die Abgabe von Geboten unter fremden Accounts sowie die Manipulation der bevorzugten Lieferadresse in deren Benutzerkonto.

eBay nimmt dieses Problem ernst und hat angekündigt, es voraussichtlich Anfang Januar durch ein Software-Update zu beheben. Bis dahin sollte man auf E-Mails von eBay achten, die Gebote melden, die man nicht abgegeben hat. Niemand muss fürchten, Ware abnehmen zu müssen, die er nicht gekauft hat. Denn etwa nach Ansicht des Landgerichts Bonn (AZ 2 O 472/03) reicht die Identifikation mittels Passwort nicht als Beweis, dass ein Mitglied ein Gebot tatsächlich abgegeben hat.

Mehr Informationen zu der Demo und zum Passwort-Phishing mit JavaScript in eBay-Auktionen finden Sie im Hintergrundbericht eBay-Passwortklau auf heise security


zum test

zu heise security

[Vincinzerei]

Wer es sich angesehen hat weis wies war.. wer nicht  hier eine kleine Zusammenfassung:

Der Sicherheitsexperte von Ebay betonte immerwieder wie wichtig es ist sein Passwort keinem zu sagen, man solle auch die Ebay Toolbar benutzen und die Tools die Ebay zur Verfügung stellt. Des weiteren ist ein Tool in Benutzung das sämtlichen "schädlichen" Javascript Code "rauslöscht" und die User an Ebay meldet, es ist auch noch eine Erweiterung dieses Tools "am start" was "demnächst" Online gehen wird, um solchen "zufälligen" Passwortverlustierungen wie es manche Leute haben Herr zu werden. Man solle bitte mit allem was einem nicht koscher ist was sein Passwort betrifft zur Polizei gehen.
(in diesem Zusammenhang sei gesagt, die Polizei Berlin hat zur zeit rund 50 Fälle deswegen und auch ein Rechtsanwalt meinte, seine Kunden würden sich das nicht einfach so aus den Fingern saugen)


Im Fall einer Dame die im STudio war die es betraf meinte er, er kann leider um die laufenden Ermittlungen nicht zu gefärden nichts sagen aber die Ermittlungen laufen sehr gut und sie arbeiten eng mit der Polizei zusammen damit so ein Einzelfall wie der Ihre nicht nochmal passiere.

Im Studio wurde mehrmals darauf hingewiesen das über die letzten paar Tage es immer (quasi jederzeit) möglich war das Kennwort jedes Users der das Angebot ausprobierte (ob mit oder ohne Toolbar) auszulesen, im Lifetest klappte dies allerdings nicht, zuerst lies sich die Toolbar nicht installieren, dannach funktionierte auf einmal das Javascript nicht mehr und der Testuser von STernTV lies sich nicht einrichten.. merkwürdig.

Merkwürdig fand dies auch der Moderator der dies auch mehrmals betonte was zustimmendes Gemurmel aus dem Publikum zur Folge hatte und auf die Betonung hin das diese Masnahme die Ebay hier "wahrscheinlich" aufgrund der Livesendung gemacht hatte doch bitte auch im täglichen Betrieb einsetzen solle gab es Beifall und einen leichten roten Kopf und nervöse Blicke des Sicherheitsexperten.

Interessant fand ich aus meiner sicht (als Supporter) das man sich auf EIN Tool das nur ein paar User überhaupt nutzen, nämlich Javascript, so fixiert und so eingeschossen sein kann wie Ebay anstatt (als beispiel nenne ich mal diverse Foren) einen quasi Code beizusteuern damit die die sich spielen wollen mit Bildchen etc dies auch machen können ohne Sicherheitsbedenken aller möglichen Leute, hervorzurufen.