Lücke bei eBay ermöglicht Diebstahl der Login-Daten

Sicherheit Die Verbraucherschutzinitiative Falle-Internet.de hat ein Sicherheitsproblem beim Auktionshaus eBay aufgedeckt. Mittels eines einfachen Flash-Applets ist es möglich, Benutzername und Passwort der bietenden Nutzer auszuspähen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
na dann ebay rulez
 
Aha, interessant. Hatte Anfang des Jahres das seltsame Problem, dass ich eine Mail von ebay bekam, mit dem Inhalt, dritte hätten mein Ebaykonto benutzt. Daraufhin musste ich das Konto wieder entsperren. Da ich mir als User nix vorzuwerfen hatte bezügl. Weitergabe oder fahrlässiger Umgang mit meinen Zugangsdaten, schrieb ich natürlich an Ebay und wies darauf hin, das es eine Lücke bei Ebay sein müsse, die es ermöglichte an meinen Account zu gelangen. Das wollte man natürlich seitens Ebay nicht hören und bestritt diesen Verdacht. Informationen von wo mein Konto angeblich genutzt worden sein soll, habe ich nicht erhalten. Es scheint also einige Schlupflöcher zu geben.
 
zitat: "..., dann Flash-Inhalte lassen sich nur ...." sollte wohl "denn" heißen. aber es ist ja immer nur eine frage der zeit, bis bei einer solch großen plattform lücken entdeckt werden. ganz sicher wird es nie sein.
 
@sTr3@m: Welche Lücken ?? eBay ist offen wie ein Scheunentor. Dort wird mehr Geld in Werbung gesteckt als in Sicherheit ihrer Mitglieder.
 
Allerdings kann nur ein eingeschränkter Nutzerkreis von dieser Möglichkeit Gebrauch machen, dann Flash-Inhalte lassen sich nur von PostIdent geprüften Mitgliedern, PowerSellern, verifizierten PayPal-Mitgliedern und Nutzern, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, einbinden. ______> naja wenns nur vertifizierte user können gehts ja.
 
@gimpfenlord: Aber auch Nutzer die länger als 500 Tage angemeldet sind dürfen das. Sind die alle lieb? Und nun?
 
@wieselding: Naja, 500 Tage sind knapp 1,5 Jahre: ich denke nicht, dass ein Krimineller erstmal 1,5 Jahre wartet, bis er etwas abstauben kann. Dazu kommt ja noch, dass die 500 Tage nur die erste Hürde sind: der entsprechende eBay-Nutzer muss ja auch mindestens 500 postitive Bewertungen haben.
 
@King_Rollo: Durch Account Pishing widerum an die Daten anderer kommen, über deren Account Auktionen mit dem Flash Applet rein und dann wieder Accounst abgrasen, womit man dann wieder ein paar böse Sachen machen kann.
 
Wer lässt denn diesen blöden Proprietären misst auf einer Webseite laufen wo Sicherheit eine grössere Rolle spielt?
 
@overdriverdh21: ... sprach der Links-User ^^
 
@overdriverdh21: eBay :-) Die sind eh nur an der Kohle anderer interessiert. Mit allen rechtlichen und unrechtlichen Mitteln.
 
Hackerparagraph ... Ach ja. Der Paragraph der Sicherheitsdienstleistern verbietet nach Sicherheitslücken zu suchen. Richtig. Der Berufsverbot-Parapraph. Echt ne Spitzenerfindung ihr weisen Politiker *rolleyes*
 
Flash, die Geisel des Internets! Verbietet diesen Flash Terror 1!elf
 
@Fusselbär: Meine Güte. So was gabs nun mal immer. HTML/CSS ist doch auch nicht gerade unbefleckt^^
 
@Fusselbär: Erstens heißt das Geißel und zweitens brauchst du nur deinen Flashplayer deinstallieren um davon verschont zu bleiben.
 
So lange man im Internet russische, rumänische und chinesische Seiten findet, auf denen schon tausende gehackte eBayaccounts gelistet sind, dürften auch immer einige viele darunter sein, die schon die nötigen Voraussetzungen für XSS erfüllen.

Wenn man einmal live mitverfolgt wieviele geistig verwirrte minütlich ihre Daten auf Phishingmails herausgeben, und diese auf gecrackten Servern gespeichert werden, wird einem schlecht.

Auf eine einzige massenhaft versendete Phishingmail melden sich zum Teil 1500 User innerhalb der ersten Stunde.

Und eBay redet von Sicherheit nur, wenn es Werbezwecke erfüllt und deren Gewinn steigert.
 
@forentourist: Upppps. Nicht zu vergessen die Seiten mit tausenden gesammelten Keksen ( cookies ) Warum werden die gesammelt ? Mit einem Sessioncookie kann man bequem sich in den dortigen Account einloggen und diesen übernehmen. Mit gesammelten IP's lässt sich sogar noch einiges mehr anstellen. Und eine Firewall ist heute für gute Hacker wirklich keine große Hürde mehr. Wenn eure Brotbüchsen dann schon über WOL ferngestartet werden, und nur noch als Botbüchsen zum schnelleren Vertrieb von Spam und Malware dienen, werdet ihr euch eventuell mehr Gedanken über Sicherheit machen.

Bis dahin müssen sich halt noch solche Initiativen wie Falle-Internet.de um die Sicherheit der Internetuser kümmern.
Kommentar abgeben Netiquette beachten!

Interessantes bei eBay