Weiterempfehlen Leserbrief
12.03.2008

Falle-internet.de deckt Schwachstelle auf, eBay dementiert

Sicherheitslücke bei eBay: Persönliche Daten gefährdet

Verbraucherschutz

Über diesen Trick könnten in kurzer Zeit Hunderte von Passwörtern gesammelt werden. Zeit also für eine Demonstration der XSS-Schwachstelle - bereits zuvor hatten die Betreiber von falle-internet.de eBay auf die Schwachstelle aufmerksam gemacht. Nach einem Jahr ohne nennenswerte Reaktion griff falle-internet.de zu selbstständigem Handeln. Die Opfer der Testreihe wurden nach dem Auslesen ihrer persönlichen Daten informiert und konnten sich von der Echtheit der Sicherheitslücke überzeugen.

Erste Reaktion: Drohen statt Dank

Während der Planung und Durchführung der Demonstration stand falle-internet.de stets in Kontakt mit eBay. Als das Online-Portal im November 2007 von der geplanten Testauktion berichtete, drohte die eBay-Abteilung "Law Enforcement Affairs" per Mail mit Bezug auf den Hackerparagraphen §202c StGB. Dieser besagt, dass das Ausnutzen und Zugänglichmachen von Sicherheitslücken strafbar ist.

Nicht die erwünschte Reaktion! Daher teilte falle-internet.de sowohl Anfang Dezember 2007 der Abteilung "Law Enforcement Affairs" als auch Mitte Dezember "Trust & Safety" zum wiederholten Mal die Existenz der XSS-Sicherheitslücken mit. Laut falle-internet.de hat eBay bis dato immer noch nicht adäquat auf die Bedrohung reagiert.

XSS-Schwachstelle: Passwort-Phishing auf falschen eBay-Seiten.
(Quelle: falle-internet.de, Klick vergrößert.)

Aktuell: Stellungnahme von eBay

Das Portal falle-internet.de hat die jüngsten Schritte natürlich auch eBay selbst zugänglich gemacht. Am 12. März kam die Stellungnahme des Auktionshauses: Man sei den engagierten Internet-Nutzern dankbar für ihre Beobachtungen und wolle sie trotz der Verwendung von Schadsoftware nicht kriminalisieren. Dennoch hätten die Schwachstellen laut eBay keine praktische Relevanz.

Die Mitteilung besagt weiter: "Nur Verkäufer, die entweder Teilnehmer des PowerSeller-Programms, 'Geprüftes Mitglied', verifiziertes PayPal-Mitglied oder länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, können auf dem deutschen eBay-Marktplatz Technologien wie JavaScript und Flash in der Gestaltung ihrer Angebote verwenden." Daher sei aus Sicht des Auktionshauses ein Missbrauch ausgeschlossen.

Empfehlung: Skript- und komfortfrei

Da es also noch dauern kann, bis eBay die Schwachstellen seines Auktionshauses nachbessert, empfiehlt falle-internet.de das Abschalten von JavaScript und Flash auf den Artikelseiten von eBay. Im Mozilla Firefox ist dies relativ leicht durch die Erweiterungen NoScript und Flashblock möglich, Nutzer des Internet Explorers haben hier deutlich weniger Spielraum.

Durch den Verzicht auf Flash und JavaScript wird der Online-Auftritt von eBay zwar sicherer, aber auch unkomfortabler: Viele Funktionen der Website basieren auf diesen beiden Technologien und werden daher nicht mehr korrekt angezeigt. Hier muss jeder Nutzer selber abwägen, welche Einschränkungen er in Kauf nehmen möchte.

Links zum Artikel

Druckversion | Kommentare

« zurück 1 | 2 | 3

Mehr über: eBay, Sicherheit, Verbraucherschutz, Internet

Online-Services

Eigentlich braucht niemand mehr vor die Tür, fast alles lässt sich heutzutage online erledigen. Von Video on Demand über den digitalen Musikkauf bis hin zum Online-Bildentwickler: Hier finden Sie Anleitungen und Tipps zu den beliebtesten Online-Services.

Internet Browser

Welches ist der beste Browser? Eine Frage, die fast schon religiöse Formen annimmt. Fest steht, dass mit Opera und Firefox zwei starke, kostenlose Alternativen am Start sind.