Erneut gefährliche Sicherheitslücke bei Ebay aufgedeckt
Ihr Entdecker, der Sicherheitsforscher MTL kritisiert vor allem die zögerliche Reaktion des Plattformbetreibers. Die ist man aber schon gewohnt: 2014 und im Frühjahr 2015 dauert es ebenfalls sehr lange, bevor eine ähnliche, ebenso schlichte Sicherheitslücke bei Ebay geschlossen wurde
Ebay hat jetzte eine Cross-Site-Scripting-Lücke geschlossen, über die es am 11. Dezember informiert wurde. Wäre sie ausgenutzt worden, hätte die Gefahr bestanden, das Phishing-Kampagnen gegen die Nutzer unternommen und deren Passwörter gestohlen worden wären. Der Entdecker der Sicherheitslücke bei Ebay, ein Sicherheitsforscher, der sich MTL nennt, kritisiert daher nicht so sehr, dass die Schwachstelle überhaupt bestand, als vielmehr die zögerliche Reaktion des Plattformbetreibers.
Die am 11. Dezember entdeckte und an Ebay gemeldete Sicherheitslücke erlaubte es, über ein “Iframe”-Element eine Seite bei Ebay einzuschleusen. So ließ sich eine Log-in-Seite in Ebays URL-System injizieren, die von Nutzern dann als Teil der echten Website von Ebay wahrgenommen worden wäre. In einem Video zeigt MTL, wie die Sicherheitslücke hätte ausgenutzt werden können.
Laut MLT sollte eine derart “schlichte Anfälligkeit” bei einer Website wie Ebay eigentlich gar nicht vorhanden sein. Als weitaus gravierender stuft er aber ein, dass Ebay zwar auf seine Meldung geantwortet, die Lücke aber rund einen Monat später immer noch nicht geschlossen hatte. Erst als er sich an die Medien wandte und eine Veröffentlichung ankündigte, reagierte Ebay schließlich
Ein Ebay-Sprecher begründet die Verzögerung gegenüber ZDNet.com mit einer “Fehlkommunikation”. Zwar habe sich der Sicherheitsforscher tatsächlich am 11. Dezember an das Unternehmen gewandt, Details aber später mit einer anderen E-Mail-Adresse übermittelt. Als Reaktion kündigte MLT an, seine Korrespondenz mit Ebay zu veröffentlichen. Er will damit zeigen, wie Unternehmen bei Sicherheitsproblemen mit seiner Site nicht umgehen sollten.
Bereits im Mai 2014 war eine vergleichbare XSS-Lücke bei Ebay entdeckt worden. Auch damals reagierte der Konzern erst mit Verspätung. Threatpost berichtete dann im April 2015 von einer weiteren, potenziell gefährlichen und bei Ebay seit über einem Jahr vorhandenen Cross-Site-Scripting-Lücke.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de