Neues Sicherheitsproblem bei eBay

Obwohl eBay seit Wochen die Folgen eines weitreichenden Hackerangriffs auf seinen Marktplatz beheben muss, gibt es nun offenbar eine neue Sicherheitslücke. Hacker können demnach mit einem Javascript-Code fremde eBay-Konten übernehmen.

(Bildquelle eBay: Ingvar Bjork / Shutterstock.com)

Nach dem Hackerangriff auf eBay, steht der Marktplatz unter besonderer Beobachtung von Sicherheitsexperten. Diese wollen nun unabhängig vom Hackerangriff eine weitere Sicherheitslücke auf dem Marktplatz entdeckt haben. Der IT-Dienstleister Greenbone hat eine Lücke auf dem Marktplatz entdeckt, welche die Übernahme von fremden eBay-Konten erlauben soll. EBay selbst soll die Sicherheitslücke für ein „akzeptables Risiko“ gehalten haben.

EBay sah Sicherheitslücke als „akzeptables Risiko“

Ein Mitarbeiter von Greenbone soll bereits vor Monaten auf der eBay-Webseite eine sogenannte Cross-Site-Scripting-Lücke entdeckt haben. Diese erlaube die komplette Übernahme von fremden eBay-Accounts und ermögliche deren Missbrauch. Greenbone hat nach eigenen Angaben bereits vor zwei Monaten Kontakt mit eBay aufgenommen, um das Unternehmen über die Gefahr zu informieren. „Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab. Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle“, sagte der verantwortliche Sicherheitsexperte von Greenbone gegenüber Golem.de.

Laut Greenbone könne jeder Person mit entsprechender Fachkenntnis auf einer Auktionsseite von eBay.de einen unautorisierten Javascript-Code ausführen und potentielle Opfer auf die präparierte Auktionsseite locken. Danach könne der Hacker beliebige Aktionen mit dem eBay-Account seines Opfers ausführen.

Ähnliches Problem bereits im Jahr 2012

Ein ähnliches Problem hatte eBay bereits im Jahr 2012 gehabt und dürfte demnach damit vertraut sein. Die aktuelle Stellungnahme von eBay gegenüber Golem.de widerspricht allerdings der Aussage des Unternehmens gegenüber dem Sicherheitsexperten von Greenbone, bei der eBay von einem „akzeptablen Risiko“ gesprochen haben soll.

In der jüngsten Stellungnahme teilt eBay mit: "Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral.

Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."