Offenbar gab es eine Sicherheitslücke bei Ebay, durch die Angreifer Passwörter einzelner Nutzerkonten hätten stehlen können. Ebay hat dieses Problem nun behoben, bevor ein solcher Übergriff stattgefunden habe.
(Bildquelle Online-Sicherheit: Maksim Kabakou via Shutterstock)
Ebay hat eine Sicherheitslücke geschlossen, die es Angreifern ermöglicht hat, Passwörter einzelner Kundenkonten auszuspionieren und damit die Konten zu übernehmen. Wie das Online-Magazin Motherboard berichtet, habe ein unabhängiger Sicherheitsforscher, der sich MLT nennt, den Online-Marktplatz bereits am 11. Dezember über das Problem informiert.
Ebay-Sprecher Ryan Moore betonte, dass das Unternehmen darauf bedacht sei, „einen sicheren Marktplatz für unsere Millionen Kunden weltweit zu bieten“ und dass Ebay derartige Probleme schnell beheben wollte. Bei der nun geschlossenen Sicherheitslücke habe es aber „eine kleine Misskommunikation“ gegeben, da MLT nach seinem ersten Bericht über die Sicherheitslücke zwar eine zweite E-Mail mit weiteren Details geschickt hat – aber dabei eine andere E-Mail-Adresse verwendet habe. Ein Sicherheitsexperte von Ebay erklärte, dass die Sicherheitslücke „ausgeklügelt und komplex“ gewesen sei.
Nicht die erste Sicherheitslücke dieser Art
Sowohl Ebay als auch MLT bestätigten am Montag, dass die Sicherheitslücke geschlossen sei. Motherboard zufolge „sieht es nicht so aus als hätte irgendjemand die Sicherheitslücke ausgenutzt“, trotzdem sei es möglich, dass neben MLT auch weitere Personen den Fehler gefunden und ausgenutzt haben könnten.
Bei der Sicherheitslücke handelte es sich um Cross-Site-Scripting (XSS), über das Angreifer falsche Ebay-Seiten erzeugen konnten, um Login-Daten von Nutzern abzugreifen. Ebay hatte bereits im September letzten Jahres eine XSS-Lücke geschlossen. Damals brauchte das Unternehmen allerdings fast ein Jahr, um das Problem zu beheben. Ebay ist aber bei Weitem nicht das einzige Unternehmen, das von dieser Sicherheitslücke betroffen ist: XSS ist recht weit verbreitet im Internet, so waren auch Facebook und MySpace von einer solchen Lücke betroffen. Es können aber Gegenmaßnahmen eingeleitet werden, um XSS zu vermeiden.
Kommentar schreiben