Im Online-Auktionshaus Ebay befindet sich ein Sicherheitsloch, das Angreifer zum Ausspähen fremder Ebay-Kontodaten missbrauchen können, wie Falle-Internet.de berichtet. Um Opfer eines solchen Angriffs zu werden, muss lediglich eine entsprechend präparierte Ebay-Auktion im Browser geöffnet werden. Ebay bestätigt das Problem in einer Stellungnahme grundsätzlich, hält die Gefahren allerdings für relativ gering, da nur Nutzer die zuvor überprüft wurden die entsprechenden Techniken nutzen dürfen.
Um das von Falle-Internet.de beschriebene Sicherheitsloch auszunutzen, stellt der Angreifer dafür eine Auktion in Ebay ein und integriert darin eine präparierte Flash-Animation. Sobald sich ein angemeldetes Ebay-Mitglied die betreffende Auktion ansieht, kann der Angreifer dessen Kontodaten über Cross-Site-Scripting einsehen, berichtet Falle-Internet.de. Damit erhält er Zugriff auf alle Daten unter "Mein eBay", die eigentlich nur für den angemeldeten Nutzer einsehbar sein sollten. Das Opfer soll davon nichts bemerken. Dazu verbergen sich in der Flash-Animation schadhafte JavaScript-Befehle, worüber die betreffenden Ebay-Cookies an den Angreifer verschickt werden.
Durch das Sicherheitsleck erhalten Unbefugte Zugriff auf den Namen sowie die Anschrift des Ebay-Nutzers einschließlich seiner E-Mail-Adresse. Immerhin sind alle Bank- und Kreditkartendaten teilweise unkenntlich gemacht, so dass sich diese so nicht ohne weiteres ausspionieren lassen. Darüber hinaus kann der Unbefugte aber die Kennwort-Sicherheitsabfrage einsehen sowie alle zurückliegenden und zu beobachtende Auktionen betrachten. Auch der Zugriff auf alle Mitteilungen im Bereich "Meine Nachrichten" sind dadurch ungeschützt.
Diese vertraulichen Informationen können dazu genutzt werden, um jemandem gefälschte Angebote zu unterbreiten. Dabei helfen die korrekten Informationen über das Opfer, die entsprechenden Informationen als vertrauenswürdig wirken zu lassen.
Nach Angaben von Falle-Internet.de wurde Ebay Mitte Dezember 2007 auf die Probleme hingewiesen, ohne dass diese seitdem beseitigt wurden. Derzeit können sich eBay-Kunden nur gegen solche Angriffe schützen, indem sie das Flash-Plug-In deinstalliert oder die JavaScript- und ActiveX-Funktionen im Browser deaktiviert werden. Ohne aktiviertes no exploit bzw. ActiveX lassen sich die wesentlichen Funktionen von Ebay allerdings nicht mehr nutzen. Und ohne Flash-Plug-In lassen sich zahlreiche andere Webseiten nicht mehr anzeigen, so dass der Nutzer dann erhebliche Komforteinbußen zu verzeichnen hat. Ebay bestätigt in einer Stellungnahme, dass mittels no exploit oder Flash Schadsoftware erzeugt werden kann. Der Einsatz solcher Schadsoftware habe aber "keine praktische Relevanz" auf Ebay. Zudem sei die Nutzung von no exploit oder Flash Teilnehmer des Mitgliedern des PowerSeller-Programms, "geprüften Mitglieder", verifizierten PayPal-Mitglieder und Ebay-Mitgliedern vorbehalten, die länger als 500 Tage bei Ebay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Dabei handle es sich um besonders vertrauenswürdige Ebay-Mitglieder bei denen nahezu ausgeschlossen sei, dass sie Ebay in einer solch missbräuchlichen Art und Weise nutzen. Zudem setzt Ebay nach eigenen Angaben zusätzliche Schutzmaßnahmen ein, um entsprechende Schadsoftware zu erkennen und solche Angebote aus dem Marktplatz zu entfernen.
Bericht und Quelle: http://pcgo.magnus.de/artikel/sicherheitsluecke-bei-ebay.html
Was meint Ihr dazu? Ist doch mal wieder eine RIESENSAUERREI!!!!
Um das von Falle-Internet.de beschriebene Sicherheitsloch auszunutzen, stellt der Angreifer dafür eine Auktion in Ebay ein und integriert darin eine präparierte Flash-Animation. Sobald sich ein angemeldetes Ebay-Mitglied die betreffende Auktion ansieht, kann der Angreifer dessen Kontodaten über Cross-Site-Scripting einsehen, berichtet Falle-Internet.de. Damit erhält er Zugriff auf alle Daten unter "Mein eBay", die eigentlich nur für den angemeldeten Nutzer einsehbar sein sollten. Das Opfer soll davon nichts bemerken. Dazu verbergen sich in der Flash-Animation schadhafte JavaScript-Befehle, worüber die betreffenden Ebay-Cookies an den Angreifer verschickt werden.
Durch das Sicherheitsleck erhalten Unbefugte Zugriff auf den Namen sowie die Anschrift des Ebay-Nutzers einschließlich seiner E-Mail-Adresse. Immerhin sind alle Bank- und Kreditkartendaten teilweise unkenntlich gemacht, so dass sich diese so nicht ohne weiteres ausspionieren lassen. Darüber hinaus kann der Unbefugte aber die Kennwort-Sicherheitsabfrage einsehen sowie alle zurückliegenden und zu beobachtende Auktionen betrachten. Auch der Zugriff auf alle Mitteilungen im Bereich "Meine Nachrichten" sind dadurch ungeschützt.
Diese vertraulichen Informationen können dazu genutzt werden, um jemandem gefälschte Angebote zu unterbreiten. Dabei helfen die korrekten Informationen über das Opfer, die entsprechenden Informationen als vertrauenswürdig wirken zu lassen.
Nach Angaben von Falle-Internet.de wurde Ebay Mitte Dezember 2007 auf die Probleme hingewiesen, ohne dass diese seitdem beseitigt wurden. Derzeit können sich eBay-Kunden nur gegen solche Angriffe schützen, indem sie das Flash-Plug-In deinstalliert oder die JavaScript- und ActiveX-Funktionen im Browser deaktiviert werden. Ohne aktiviertes no exploit bzw. ActiveX lassen sich die wesentlichen Funktionen von Ebay allerdings nicht mehr nutzen. Und ohne Flash-Plug-In lassen sich zahlreiche andere Webseiten nicht mehr anzeigen, so dass der Nutzer dann erhebliche Komforteinbußen zu verzeichnen hat. Ebay bestätigt in einer Stellungnahme, dass mittels no exploit oder Flash Schadsoftware erzeugt werden kann. Der Einsatz solcher Schadsoftware habe aber "keine praktische Relevanz" auf Ebay. Zudem sei die Nutzung von no exploit oder Flash Teilnehmer des Mitgliedern des PowerSeller-Programms, "geprüften Mitglieder", verifizierten PayPal-Mitglieder und Ebay-Mitgliedern vorbehalten, die länger als 500 Tage bei Ebay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Dabei handle es sich um besonders vertrauenswürdige Ebay-Mitglieder bei denen nahezu ausgeschlossen sei, dass sie Ebay in einer solch missbräuchlichen Art und Weise nutzen. Zudem setzt Ebay nach eigenen Angaben zusätzliche Schutzmaßnahmen ein, um entsprechende Schadsoftware zu erkennen und solche Angebote aus dem Marktplatz zu entfernen.
Bericht und Quelle: http://pcgo.magnus.de/artikel/sicherheitsluecke-bei-ebay.html
Was meint Ihr dazu? Ist doch mal wieder eine RIESENSAUERREI!!!!