Gefährliche Sicherheitslücke bei eBay
Eine in meinen Augen sehr gefährliche Sicherheitslücke erlaubt es bei eBay, mit Hilfe eines einfachen Skripts beliebige externe Inhalte in die Artikelbeschreibung einzubinden.
Ich hatte das in einem inzwischen von eBay gelöschten Angebot demonstriert: Dort wird die (harmlose) Startseite von Google eingebunden. Bei Opera, Firefox und Safari unter Mac OSX erfolgt beim ersten Aufruf des Artikels eine echte Weiterleitung zu Google. Ab dem zweiten Aufruf wird dann "nur noch" das Innerframe angezeigt.
Die Sicherheitslücke lässt sich zum einen für vergleichsweise harmlose Manipulationen verwenden, beispielsweise für eBay-interne Weiterleitungen: Artikelnummer 220547670676 wird z.B. nach kurzer Zeit auf die Artikelnummer 200433071331 umgeleitet - ein Angebot des gleichen Verkäufers, allerdings unter einem deutlich schlechter bewerteten Account.
Update: Sofort nach Kenntnis meines Artikels hat eBay das Angebot mit der internen Weiterleitung gelöscht. Ebenfalls gelöscht: Das Angebot, auf das weitergeleitet wurde.
Natürlich könnte man mit Hilfe dieses einfachen Skripts aber auch z.B. eine nachgemachte eBay-Seite in die Artikelbeschreibung einfügen - und so die Passwörter der Leser abgreifen.
eBay ist diese Sicherheitslücke seit Jahren bekannt. Grundsätzlich kann die Sicherheitslücke auch nur von Account-Inhabern mit folgenden Voraussetzungen genutzt werden:
Der Verkäufer ist Geprüftes Mitglied oder
PowerSeller oder
verifiziertes PayPal-Mitglied oder
länger als 500 Tage bei eBay angemeldet und hat mehr als 500 Bewertungspunkte.
Bei eBay ist angeblich kein Fall bekannt, in dem diese Sicherheitslücke für betrügerische Manipulationen oder für Phishing-Attacken genutzt worden wäre. Selbst wenn das stimmen sollte: Das Risiko ist nunmal vorhanden und in meinen Augen auch nicht bloß ein vertretbares "Restrisiko".
eBay: Grundsatz zur Verwendung von Skriptsprachen (Javascript oder Flash)
|
