1-2-Vorsicht!

Schwere Sicherheitslücken in eBay

Beim Internetauktionshaus Ebay klaffen offenbar erhebliche Sicherheitslücken, die das Ausspionieren von Benutzername und Passwort ermöglichen, berichtet der Internet-Dienst "Heise". In einem Demo-Video wird gezeigt, wie User mittels illegal in Auktionen eingebauten Java-Scripts auf falsche eBay-Webseiten umgeleitet werden können.

Sicherheitsexperten von Heise und Validome habenin eine Fake-Auktion ein solches Spionage-Script eingebaut, umzu beweisen, wie einfach der Passwort-Klau ist. Inzwischen wurdedie Demo-Auktion offline genommen, ein Video (siehe Linkbox) demonstriertwie einfach das geht.
 
Hat man "Javascript" im Internet-Explorer aktiviert,riskiert man, auf eine gefälschte Seite umgeleitet zu werden.Solche Javascripts sind zwar laut Geschäftsbedingungen vonzwar eBay verboten, verhindert werden sie aber nicht. eBay hatzugegeben das Problem zu kennen, im Jänner soll es mit einemSoftware-Update behoben werden.
 
Auch "Computerbild" hatte zuvor vor einem Bug imeBay-Netzwerk gewarnt, der es ermöglicht Gebote unter fremdemNamen abzugeben. Dazu müsse man nicht einmal das Passwortdes Mitglieds kennen, berichtete die Zeitschrift.
 
Zudem sei es möglich, einen "Wurm" bei eBayeinzuschleusen. Dieses Schädlingsprogramm könne sichautomatisch im eBay-System vermehren und dabei Nutzerdaten undGebote fälschen. Im schlimmsten Fall könnten durch eineKettenreaktion tausende Auktionen und Mitgliedskonten manipuliertwerden.