Katastrophale Sicherheitslücke bei eBay

Die von mir gemeldete Phishing-Mail ist nicht nur gefährlich, sondern offenbart auch eine katastrophale Sicherheitslücke bei eBay.

Bei eBay kann man mit der Funktion "continueURL" eine fremde URL (Internetadresse) in eine eBay-URL einschleusen und damit auf einen in betrügerischer Absicht eingerichteten Server verweisen. Auf diesem wiederum können Betrüger über eine der eBay-Seite täuschend echt nachempfundene Website Usernamen und Passwörter von ahnungslosen eBay-Nutzern erschleichen.

Das Perfide dabei: Selbst für Fachleute sieht die gefälschte URL täuschend echt aus und ist von einer echten eBay-Seite kaum zu unterscheiden.

eBay selbst empfiehlt zur Erkennung betrügerischer Websites die Installation der eBay-Toolbar:

"Installieren Sie die eBay Toolbar mit Sicherheitscheck. Die Toolbar erscheint direkt unterhalb der Adressleiste Ihres Browsers. Anhand eines Farbcodes zeigt Ihnen der Sicherheits-Check, ob Sie sich auf einer von eBay, PayPal oder mobile.de geprüften Website befinden oder auf einer potenziell gefälschten Site."

Leider ist das ein schlechter Rat, denn die eBay-Toolbar erkennt diese gefälschte URL und Website nicht:

gefälschte URL

Noch schlimmer ist, dass dadurch auch noch ein bestehendes Zertifikat für eine verschlüsselte SSL-Verbindung vorgetäuscht wird: Am Fehlen eines solchen Zertifikats lassen sich normalerweise gefälschte Websites am schnellsten erkennen.

Mit einem Trick, den ich hier nicht näher beschreiben will, kann man zudem automatische Weiterleitungen auf solche gefälschten Websites in eBay-Artikelbeschreibungen einschleusen. Hier hat dann ein ahnungsloser Leser überhaupt keine Chance, die Täuschung zu erkennen: Es ist ja schließlich normal, dass man bei eBay gelegentlich zum Einloggen aufgefordert wird - auch dann, wenn man eigentlich bereits eingeloggt ist.

Zu Ihrer Unterhaltung können Sie ja mal meine Mich-Seite (eBay-Mitglied axelg) besuchen und sehen, was passiert: Sie werden automatisch und ohne Ihr Zutun auf www.wortfilter.de weitergeleitet. Tun Sie das aber bald - eBay wird meine Seite wohl schnell entfernen.

Fazit: Hier hat eBay mal wieder einen kapitalen Bock geschossen und demonstriert eindrucksvoll, wie gering der Stellenwert technischer Sicherheit im Konzern ist. eBay hatte zwei Jahre (!) gebraucht, um bekannte JavaScript-Betrügereien einigermaßen in den Griff zu bekommen. Hoffentlich dauert das Schließen dieser Lücke nicht wieder so lange...

Update: eBay hat die Sicherheitslücke geschlossen.

Axel Gronen Juni 2005aXel Gronen
Köln, 17.04.2006
Vorherige Meldung Vorherige Meldung

Meldungen 1. Quartal 2005     Meldungen 4. Quartal 2004     Meldungen 3. Quartal 2004
Meldungen 2. Quartal 2004     Meldungen 1. Quartal 2004     Meldungen 2002 und 2003

© 2006 bei Axel Gronen. Letzte Aktualisierung: 17.04.06.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo