Probleme mit der digitalen Sicherheit gab es in den vergangenen Wochen zur genüge: Ob eBay, Heartbleed oder der neueste Diebstahl von rund einer Milliarde Login-Daten – die Online-Welt bekommt die Probleme mit Identitätsdiebstählen, Fremdzugriffen und anderen Sicherheitslücken einfach nicht in den Griff. Und mitten in dieses allgemeine Unsicherheitsgefühl der Nutzer platzen nun auch noch Nachrichten über Schwachstellen bei eBay, der Payment-Tochter PayPal und Trusted Shops.
(Bildquelle Gebrochenes Schloss: Myibean via Shutterstock)
eBay: Identitätsdiebstahl im Chat möglich
Erst vor wenigen Monaten hatte eBay mit schweren Sicherheitsproblemen zu kämpfen. Damals wurde bekannt, dass sich Unbefugte Zugriff auf sensible Daten wie E-Mail-Adressen, Wohnanschriften, Telefonnummern und Geburtsdaten verschafft hatten. In einer groß angelegten Aktion rief der Online-Marktplatz daraufhin rund 112 Millionen Nutzer auf, ihre Passwörter bzw. Login-Daten zu erneuern.
Kaum ist ein wenig Gras über diese unschöne Passage der Unternehmensgeschichte gewachsen, offenbart sich nun ein neues Sicherheitsproblem: Wie eCommerceBytes berichtet, können sich User auf der britischen eBay-Seite in den plattformeigenen Chat einloggen und dabei einen fremden Useraccount übernehmen. Möglich wird dies, weil sich die Nutzer zuerst mit ihren eigenen Daten bei eBay anmelden und einen Chat starten können. In einem zweiten Schritt dürfen sich die Nutzer einen Chat-Namen wählen – der nicht zwingend ihr eigener sein muss.
Auf diesem Weg können sie dann beispielsweise mit dem Service-Team Kontakt aufnehmen und Bewertungen löschen lassen oder ähnliches. Ein solcher Identitätsdiebstahl ließe sich auf verschiedene Weise missbrauchen. Obwohl der Chat mittlerweile außer Betrieb genommen wurde, hat eBay jedoch zu dieser Problematik noch keine Stellung bezogen. Ein Fakt, der bei Händlern und Nutzern nicht gut ankommen dürfte.
PayPal: Schwachstelle bei Zwei-Faktor-Authentifizierung
Auch bei eBays Zahlungsdienst PayPal sieht es beim Thema Sicherheit nicht unbedingt besser aus. Nach Informationen von zdNet kann die Zwei-Faktor-Authentifizierung, die eigentlich einem höheren Sicherheitsstandard dienen soll, umgangen werden, sodass der zusätzliche sechsstellige Zahlencode nicht eingegeben werden muss. Dazu müssen dem potenziellen Angreifer lediglich die Zugangsdaten für eBay sowie für PayPal bekannt sein. Grundlegend möglich wird die Umgehung der doppelten Authentifizierung durch die enge Kopplung der eBay und PayPal-Seiten.
Gefunden hat das Sicherheitsleck ein 17-jähriger Australier, der das Unternehmen bereits vor zwei Monaten über die Schwachstelle informierte. Dennoch sei das Problem noch nicht behoben. Wie wir bereits berichteten, ist dies nicht das erste Mal, dass die vermeintlich hohen Sicherheitsstandards von PayPal einfach überwunden wurden. Wie der Konzern die Lücken schließen will, bleibt fraglich.
Trusted Shops: Sicherheitsunternehmen wird selbst zum Sicherheitsproblem
Eigentlich hatte es sich das Unternehmen Trusted Shops zur Aufgabe gemacht, für Sicherheit im Netz zu sorgen. Doch nach Angaben des mdr hat ein 19-jähriger Österreicher nun aufgedeckt, dass die Online-Präsenz des Unternehmens selbst gravierende Sicherheitsmängel offenbart und somit den selbst gesetzten Standards widerspricht: „Es ist einfach nicht gut für eine Seite, die Zertifikate ausstellt für andere, dass die eine Lücke hat, die so schwerwiegend ist“, kommentiert der Wiener Aria Akhavan.
Die Probleme mit der Trusted Shops-Seite sind so gravierend, dass es theoretisch möglich wäre, über die Website Millionen Spam-Mails mit schädlichen Anhängen an Online-Händler auf der ganzen Welt zu verschicken, ohne dass jemand Verdacht schöpft. Denn der Link würde mit dem Unternehmensnamen beginnen, der ja eigentlich Sicherheit verspricht. „Also, ich habe bisher weder ein Feedback noch eine Lösung gesehen“, sagt Akhavan weiter.
Obwohl Trusted Shops auf Nachfrage mitteilte, dass die Sicherheitslücke geschlossen sei, musste diese Aussage im Nachhinein korrigiert werden. Das Unternehmen arbeite zwar an der digitalen Reparatur, doch die Probleme bestehen weiterhin.
Update vom 14.08.2014: Trusted Shops hat inzwischen mittgeteilt, dass die Probleme behoben seien.
Kommentar schreiben