Lücke bei eBay ermöglicht Diebstahl der Login-Daten

Die Verbraucherschutzinitiative Falle-Internet.de hat ein Sicherheitsproblem beim Auktionshaus eBay aufgedeckt. Mittels eines einfachen Flash-Applets ist es möglich, Benutzername und Passwort der bietenden Nutzer auszuspähen. Dass man die Login-Daten mittels einer gefälschten Angebotsseite ermitteln kann, ist eigentlich nicht neu. Falle-Internet.de demonstriert mit Hilfe eines Flash-Applets, wie sich der Login-Dialog bei der Abgabe eines Angebots manipulieren lässt, so dass die eingegeben Daten nicht an eBay gesendet werden, sondern an den Hacker.

Allerdings kann nur ein eingeschränkter Nutzerkreis von dieser Möglichkeit Gebrauch machen, dann Flash-Inhalte lassen sich nur von PostIdent geprüften Mitgliedern, PowerSellern, verifizierten PayPal-Mitgliedern und Nutzern, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, einbinden.

Im Vorfeld der Veröffentlichung der Informationen rund um dieses Sicherheitsproblem wurde Falle-Internet.de von eBay mit Hinweis auf den Hacker-Paragrafen davor gewarnt, Tests oder Demonstrationen durchzuführen. In einer offiziellen Stellungnahme dagegen heißt es, dass auch eBay an der Sicherheit der Nutzer interessiert ist und daher mit Falle-Internet.de zusammenarbeitet.