Ebay hat mit gewohnter Verzögerung eine Cross-Site-Scripting-Lücke (XSS) geschlossen, die potentiell Millionen Nutzer Phishing-Kampagnen und Passwort-Diebstahl hätte aussetzen können. Obwohl sie schon zuvor vertraulich über die Schwachstelle unterrichtet wurde, setzte die Online-Auktionsplattform die Maßnahme zum Schutz ihrer Kunden erst um, als Medien von der Schwachstelle erfuhren.
Entdeckt, am 11. Dezember an Ebay gemeldet und später in einem Blogeintrag beschrieben wurde die Anfälligkeit von einem unabhängigen Sicherheitsforscher, der sich MLT nennt. Sie erlaubte einem Angreifer, über ein „Iframe“-Element eine eigene bösartige Seite innerhalb von Ebay einzuschleusen. Er konnte eine Log-in-Seite in Ebays URL-System injizieren, sodass sie zur echten Website von Ebay zu gehören schien. Ein Proof-of-Concept-Video zeigt, wie die Sicherheitslücke tatsächlich ausgenutzt werden konnte.
MLT sieht darin eine „ziemlich schlichte Anfälligkeit“ bei einer Website, für die XSS eigentlich ein großes Thema sein sollte. Nach seiner Meldung an Ebay habe er zwar eine anfängliche Antwort bekommen, aber nach rund einem Monat habe das Unternehmen noch immer keine Anstalten gemacht, die Lücke zu schließen. Bewegung in die Angelegenheit kam erst, als sich Motherboard an Ebay wandte und eine Veröffentlichung ankündigte.
Produktiver arbeiten mit Unified Communications & Collaboration
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Die Verzögerung begründete ein Ebay-Sprecher gegenüber ZDNet.com mit einer „Fehlkommunikation“. Der Sicherheitsforscher habe sich tatsächlich am 11. Dezember an die Auktionsplattform gewandt, später aber mit einer anderen E-Mail-Adresse weitere Details übermittelt. MLT kündigte inzwischen die Veröffentlichung seiner Korrespondenz mit Ebay an – um zu demonstrieren, wie ein Unternehmen Sicherheitsprobleme bezüglich seiner Site nicht handhaben sollte.
Ebay ist nicht zum ersten Mal von einer XSS-Lücke betroffen und reagierte immer wieder verspätet darauf, wenn sich Medien einschalteten. Im April 2015 berichtete Threatpost von einer potentiell gefährlichen und bei Ebay seit über einem Jahr vorhandenen Cross-Site-Scripting-Lücke – und das Unternehmen mache noch immer nicht den Eindruck, das Problem schnell lösen zu wollen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Ebay schließt kritische Cross-Site-Scripting-Lücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.