Hacker hätten über eine Cross-Site-Scripting-Schwachstelle Konten von Ebay-Nutzern übernehmen können. Ebay hat diese Sicherheitslücke nun gestopft.

Totenkopf in auf Datenbild

(Bildquelle Virus: Finchen via Shutterstock)

Ebay hat eine Sicherheitslücke gestopft, von der bisher offenbar kaum jemand wusste: Demnach gab es eine Lücke, über die per Cross-Site-Scripting (XSS) Angreifer die Session-Cookies eines Nutzers stehlen und damit ihre Konten übernehmen konnten. Die Sicherheitslücke befand sich dem Kaspersky-Blog ThreatPost zufolge auf einer Ebay-Domain, die das Unternehmen nun entfernt hat.

Um die Sicherheitslücke auszunutzen, hätte ein Angreifer lediglich eine E-Mail oder andere Nachricht an einen Nutzer mit der fehlerhaften Subdomain schicken müssen. „Der Angreifer kann die Sicherheitslücke ausnutzen, indem er eine spezielle URL mit integriertem Script (oder XSS payload) schickt, während der Nutzer sich gerade auf der Seite befindet“, erklärt Aditya Sood, der Entdecker der Lücke, der Ebay darüber aufgeklärt hatte.

Sood hatte den Online-Marktplatz demnach im Juni über die Sicherheitslücke aufgeklärt. Ebay habe den Fehler im August behoben.

XSS-Lücke bereits im letzten Jahr entdeckt

Die BBC hatte laut eCommerceBytes bereits im vergangenen Herbst über Cross-Site-Scripting-Lücken auf dem britischen Marktplatz des Unternehmens berichtet. Die Lücke war vor allem dadurch bedingt, dass Ebay bereits Content in Form von Java Script, Flash, Verlinkungen, Videos und Bildern zulässt. Nachdem der Marktplatz über die möglichen Sicherheitslücken unterrichtet wurde, lehnte dieser aber die Entfernung des sogenannten „aktiven Contents“ ab.

Bei den Sicherheitsrisiken handele es sich um geringe Risiken, die in seltenen Einzelfällen ausgenutzt würden – der Vorteil des Contents für die Nutzer überwiege dieses geringe Risiko nach Ansicht von Ebay.