Categories: Sicherheit

Cross-Site-Scripting-Lücke auf Ebay entdeckt

Ein Mitarbeiter des deutschen Sicherheitsanbieters Greenbone hat ZDNet und andere deutsche Medien über eine Cross-Site-Scripting-Lücke (XSS) auf Ebay informiert. Wer über ein Verkäuferkonto verfügt, könnte die Schwachstelle nutzen, um über Ebay Schadcode zu verteilen.

Ebay ist aufgrund seiner Bekanntheit ein beliebtes Ziel für Kriminelle, die es als Verteilstation nutzen: Kaum ein Anwender wundert sich, wenn er einen Link zu einem Auktionsangebot dort erhält; die meisten würden bedenkenlos darauf klicken. Immerhin beschäftigen sich aus diesem Grund auch besonders viele Sicherheitsforscher damit und melden eventuelle Schwachstellen Ebays Sicherheitsteam.

Ebay wurde bereits von zwei Monaten über die Lücke informiert. Behoben wurde sie bislang noch nicht. Stattdessen wird die Schwachstelle kleingeredet. Golem gegenüber teilte Ebay mit:

„Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren.“

Offenbar handelt es sich um eine vorformulierte Presseerklärung. Schon in der Vergangenheit wurden auf der Online-Auktions-Plattform XSS-Lücken entdeckt. Außerdem widerspricht der erste Teil der Erklärung, dass Ebay die Verkäufer daran hindere, „bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.“, den gemachten Entdeckungen von Greenbone. ZDNet konnte sich davon überzeugen, dass die Lücke noch immer aktiv ist. Zudem  werden in der Artikelbeschreibung Technologien wie Flash oder JavaScript gar nicht benötigt.

XSS-Lücken entstehen leicht, wenn eine Site Eingaben ermöglicht – etwa in Form eines Feedback-Formulars. 2011 hatte sogar die Site des Sicherheitsanbieters McAfee eine solche Schwachstelle enthalten. Wie eine XSS-Lücke genau funktioniert, wird im Blog SDCybercom näher beschrieben. Anwender, die sich vor XSS-Attacken schützen wollen, verwenden unter Firefox die Erweiterung Noscript verwenden. Sie verhindert die Ausführung von JavaScript-Code.

Erst gestern hat Ebay über ein Sicherheitsvorfall berichet, der sich bereits Ende Februar ereignet hatte. Durch gestohlene Mitarbeiter-Log-ins hatten sich die Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft, die neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummer und Geburtsdatum gespeichert waren. Ebay hat seine 143 Millionen Nutzer inzwischen zur Änderung ihres Pasworts aufgerufen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Wer über ein Verkäuferkonto verfügt, könnte die XSS-Lücke nutzen, um über Ebay Schadcode zu verteilen (Screenshot: ZDNet).
Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago