Nutzlos: eBay-Verkäufer-Kontrolle durch Flash-Cookies
eBay wird demnächst überprüfen, ob ein Verkäufer seine Angebote von dem selben Rechner aus einstellt, den er dazu immer verwendet. Kommen die Angebote von einem fremden Rechner aus, so wird eBay autmoatisch zur Kontrolle die bei eBay hinterlegte Telefonnummer anrufen, siehe dazu meinen Bericht im April.
Aktuell informiert eBay alle betroffenen Verkäufer darüber per Mail, den entsprechenden Ausschnitt sehen Sie hier:
Das gesamte Verfahren ist relativ aufwändig, lästig und teuer. Und leider völlig nutzlos, wie die Kollegen von falle-internet.de herausgefunden haben!
Offenbar ist eBay bei der Programmierung der Flash-Cookies ein übler Fehler unterlaufen: Die können nicht nur von eBay, sondern auch von jedem Interessierten ausgelesen werden. Betrüger und Phisher müssen also auf ihren Phishing-Seiten zusätzlich zur eBay-Passwortabfrage nur ein kleines Skript installieren, das daneben auch die Daten aus dem eBay-Flash-Cookie ausliest. Damit ist es Betrügern dann künftig weiter möglich, bei eBay unter fremden Namen betrügerische Angebote einzustellen und/oder gefährliche Skripte einzubinden.
Weitere Infos und eine Demo dieser peinlichen Sicherheitslücke finden Sie hier.
|
