Erneut Phishing-Möglichkeit bei eBay

Unsere Kollegen von Heise-Online berichten über eine neue Phishing Möglichkeit beim Internet-Auktionshaus eBay. Demnach kann jeder User eine sogenannte "mich" Seite erstellen und so mit reinen HTML-Code ein eBay Log-In vortäuschen. Eine so gefälschte Seite hätte die Adresse http://cgi3.ebay.de/ws2/eBayISAPI.dll?ViewUserPage&userid=username und wäre von einer Original eBay Log-In Seite wohl kaum zu unterscheiden. Viele Nutzer des Auktionshauses könnten auf solch einen Link, welcher z.B in einer gefälschten E-Mail - auftauchen könnte, hereinfallen und bis eBay die entsprechende Seite sperrt könnte es für viele Nutzer bereits zu spät sein.

Die eBay Pressestelle bestätigte gegenüber Heise diese Möglichkeit, der Sachverhalt sei "genau wie bei der missbräuchlichen Nutzung von JavaScript - darauf zurückzuführen, dass die eBay-Seiten gemischte Inhalte haben. Ein Teil des Inhalts kommt von eBay, ein anderer Teil kann von den Nutzern gestaltet werden." eBay Nutzer können die gefälschte Log-In Seite am einfachsten an der nicht vorhandenen Verschlüsselung und dem fehlenden https im Link erkennen, ob jeder Nutzer darauf achtet und darüber bescheid weiss darf aber stark angezweifelt werden.

Unterdessen berichtete das RTL Magazin SternTV gestern Abend bereits zum dritten mal darüber wie einfach man mithilfe von Javascript eBay Passwörter ausspionieren kann. Bei 6 zufällig auf der Strasse angesprochenen Personen wurde in einem Internetcafé ein Test durchgeführt: Während 2 Experten der Firma Expert - Center Solutions AG in der Schweiz ruhig vor ihrem PC warteten, konnten sie dank des Javascripts von allen 6 getesteten Personen die Passwörter abfangen. Diese Lücke ist bereits seit mehreren Monaten bekannt und eBay reagierte mit einer Stellungnahme auf seiner Website, in welcher das Problem aber heruntergespielt wurde. Aus diesem Grunde wollte sternTV gestern zusammen mit den Experten der Expert-Center Solutions AG erneut in der Live-Sendung zeigen wie leicht sich dass Passwort abfangen lässt, allerdings schlug dieser Versuch fehl da eBay scheinbar aufmerksam RTL schaute und die beiden betreffenden Auktionen mit dem Javascript in der Werbepause sperrte. Als sich ein Studiogast in seinen Account einloggen wollte bekam er nur die Meldung "Internal Server Error".

Der Experte Wolfgang Krückels garantierte aber dass eBay dies nur gemerkt hat weil es eine Live-Sendung war "es sei weiterhin ohne grosse Probleme möglich solche Auktionen mit gefährlichem Javascript im Auktionshaus zu platzieren". Krückels berichtete dass seine Firma vom Auktionshaus mehrere Abmahnungen und Unterlassungs-Aufforderungen bekommen hatte, eBay möchte dieses ernsthafte Sicherheits-Problem offenbar weiterhin herunterspielen. Ein Vertreter von eBay wollte trotz Einladung von RTL nicht im Studio erscheinen.