Categories: Sicherheit

Cross-Site-Scripting-Lücke auf Ebay entdeckt

Ein Mitarbeiter des deutschen Sicherheitsanbieters Greenbone hat ZDNet und andere deutsche Medien über eine Cross-Site-Scripting-Lücke (XSS) auf Ebay informiert. Wer über ein Verkäuferkonto verfügt, könnte die Schwachstelle nutzen, um über Ebay Schadcode zu verteilen.

Ebay ist aufgrund seiner Bekanntheit ein beliebtes Ziel für Kriminelle, die es als Verteilstation nutzen: Kaum ein Anwender wundert sich, wenn er einen Link zu einem Auktionsangebot dort erhält; die meisten würden bedenkenlos darauf klicken. Immerhin beschäftigen sich aus diesem Grund auch besonders viele Sicherheitsforscher damit und melden eventuelle Schwachstellen Ebays Sicherheitsteam.

Ebay wurde bereits von zwei Monaten über die Lücke informiert. Behoben wurde sie bislang noch nicht. Stattdessen wird die Schwachstelle kleingeredet. Golem gegenüber teilte Ebay mit:

„Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren.“

Offenbar handelt es sich um eine vorformulierte Presseerklärung. Schon in der Vergangenheit wurden auf der Online-Auktions-Plattform XSS-Lücken entdeckt. Außerdem widerspricht der erste Teil der Erklärung, dass Ebay die Verkäufer daran hindere, „bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.“, den gemachten Entdeckungen von Greenbone. ZDNet konnte sich davon überzeugen, dass die Lücke noch immer aktiv ist. Zudem  werden in der Artikelbeschreibung Technologien wie Flash oder JavaScript gar nicht benötigt.

XSS-Lücken entstehen leicht, wenn eine Site Eingaben ermöglicht – etwa in Form eines Feedback-Formulars. 2011 hatte sogar die Site des Sicherheitsanbieters McAfee eine solche Schwachstelle enthalten. Wie eine XSS-Lücke genau funktioniert, wird im Blog SDCybercom näher beschrieben. Anwender, die sich vor XSS-Attacken schützen wollen, verwenden unter Firefox die Erweiterung Noscript verwenden. Sie verhindert die Ausführung von JavaScript-Code.

Erst gestern hat Ebay über ein Sicherheitsvorfall berichet, der sich bereits Ende Februar ereignet hatte. Durch gestohlene Mitarbeiter-Log-ins hatten sich die Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft, die neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummer und Geburtsdatum gespeichert waren. Ebay hat seine 143 Millionen Nutzer inzwischen zur Änderung ihres Pasworts aufgerufen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Wer über ein Verkäuferkonto verfügt, könnte die XSS-Lücke nutzen, um über Ebay Schadcode zu verteilen (Screenshot: ZDNet).
Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

37 Minuten ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

54 Minuten ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

8 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

24 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago