eBay: Leichtes Spiel für Datendiebe?
Sicherheit von Auktionsportal wieder in der Kritik
von Alfred Krüger
Datendiebe haben bei eBay ein neues Schlupfloch entdeckt. Über eine Sicherheitslücke im System werden ungehindert Kundendaten abgegriffen, behaupten Internetaktivisten. eBay wiegelt ab. Die Lücke sei bekannt, ihr Missbrauch aber nahezu unmöglich.
Drucken Versenden 12.03.2008
eBay gehört zu den populärsten Webseiten im deutschsprachigen Internet - und offenbar auch zu den gefährlichsten. Cyberkriminelle haben das weltgrößte Internetauktionshaus ständig im Visier. Sie nutzen jedes denkbare Schlupfloch, um widerrechtlich in das Portal des Marktführers in Sachen Online-Auktionen einzudringen und eBay-Kunden zu betrügen.
Schnäppchen mit Folgen
Jüngstes Schlupfloch ist eine Sicherheitslücke, mit deren Hilfe Internetbetrüger die persönlichen Daten von eBay-Kunden auslesen können. Das jedenfalls sagt "Falle Internet", eine private Initiative, die es sich auf ihre Fahnen geschrieben hat, über Internetgefahren aufzuklären. Realnamen und Postadressen von eBay-Kunden könnten abgefischt werden, dazu Passwörter, Email-Adressen sowie Transaktionen, die der Kunde bei eBay durchgeführt hat. Mit diesen Daten im Gepäck lässt sich ein eBay-Account problemlos übernehmen und in aller Ruhe für Betrügereien nutzen.
Die Datendiebe gehen laut "Falle Internet" geschickt zu Werke. Sie stellen bei eBay ein interessantes Schnäppchen ein, das viele Bieter anlocken könnte. In die Angebotsseite betten sie den Link zu einer speziell präparierten Flash-Animation ein. Solche Animationen werden nicht auf den Servern des Internetauktionshauses, sondern auf beliebigen anderen Rechnern irgendwo im Internet gespeichert.
Flash-Animationen sind bei eBay nur in Ausnahmefällen erlaubt. "Wir stellen sicher, dass nur besonders vertrauenswürdige Mitglieder solche Technologien nutzen dürfen - Mitglieder, die besondere Verifizierungsmaßnahmen durchlaufen haben oder die bereits eine lange Historie als eBay-Mitglied haben", erklärt eBay-Sprecherin Maike Fuest heute.de. "Als zusätzliche Schutzmaßnahme setzt eBay Technologien ein, um solche Schadsoftware zu erkennen und entsprechende Angebote vom eBay-Marktplatz zu entfernen."
"Lücke bekannt, aber nicht gestopft"
Trotzdem gelingt es Datendieben offenbar, die eBay-Sicherheitsvorkehrungen zu umgehen und Flash-Animationen in ihre Angebote einzubinden. Sie manipulieren diese Animationen und fügen ihnen schädlichen Programmcode hinzu. Beim Aufrufen der Seite wird automatisch auch die Flash-Animation aufgerufen und in den PC des eBay-Kunden geladen. Das angehängte Schadprogramm wird ausgeführt. Die Nutzer merken davon nichts.
Die Methode ist nicht neu. "Das Einschleusen fremden Codes ist unter dem Begriff Cross-Site-Scripting (XSS) schon seit Jahren bekannt", sagt Markus Schwinn von "Falle Internet" und erhebt schwere Vorwürfe gegen eBay. Den Betreibern des Internetauktionshauses sei die Sicherheitslücke längst bekannt. "Wirkungsvoll beseitigt wurde sie bis heute nicht", behauptet "Falle Internet".
Heute.de hat die Auswirkungen der XSS-Lücke bei eBay überprüft - mit frappierendem Ergebnis. Der Besuch einer auf den ersten Blick völlig harmlosen Angebotsseite und das Bieten auf den Artikel reichten für einen Datendiebstahl aus. Der Blick in den Quelltext der manipulierten Angebotsseite offenbart: Es wird eine "unsichtbare" Flash-Animation eingebunden, die offenbar ein schädliches Programm enthält - mit "Erlaubnis" von eBay. Der Account-Inhaber ist verifiziertes PayPal-Mitglied und erfüllt die Kriterien, um Flash-Dateien zu benutzen.
So arbeiten die Datendiebe
Das schädliche Programm leistet ganze Arbeit. Es manipuliert das eBay-Login-Formular, zu dem jeder eBay-Kunde weitergeleitet wird, wenn er auf einen Artikel bietet. Nutzernamen und Passwort müssen hier eingegeben werden. Die Daten werden dann aber nicht an eBay gesendet, sondern an einen fremden Server umgeleitet. Sie werden benutzt, um automatisch weitere Daten vom persönlichen Account bei eBay abzurufen und zu speichern.
[highlight=red]Die manipulierte Login-Seite unterscheidet sich auf den ersten Blick in nichts von einer regulären eBay-Seite. Nur wer genauer hinschaut, merkt: Es wird keine verschlüsselte Verbindung zu eBay-Servern aufgebaut - erkennbar beispielsweise daran, dass die im Browser angezeigte Webadresse nicht mit "https", sondern nur mit "http" beginnt. Das aber dürfte nur den wenigsten eBayern auffallen. [/highlight]
Die schädlichen Programme, die über die XSS-Lücke in die Rechner von eBay-Nutzern geschleust werden, sind in der Programmiersprache JavaScript geschrieben. Was sie im Rechner ihrer Opfer bewirken sollen, bleibt der Fantasie der Internetbetrüger, ihrer kriminellen Energie und ihren Programmierkenntnissen überlassen. Allein schon der Besuch einer entsprechend manipulierten Angebotsseite könnte deshalb gefährlich sein, sagt "Falle Internet".
"Lücke hat keine praktische Relevanz"
Die XSS-Lücke wird den Angaben zufolge schon seit geraumer Zeit von Internetbetrügern bei eBay genutzt. "Banden von Kriminellen kennen sich mit den Techniken von JavaScript und XSS bestens aus", sagen die Internetaktivisten. Die Palette der Manipulationen habe bereits "eine beachtliche Vielfalt" angenommen. Man habe eBay mehrfach über die Gefahren informiert. Bis heute sei die Lücke aber nicht vollständig geschlossen worden.
eBay bestreitet, dass die XSS-Lücke auf seinen Portalseiten in großem Umfang missbraucht wird. "Grundsätzlich hat diese Form des Missbrauchs weder in der Vergangenheit noch heute praktische Relevanz auf unserem Marktplatz", sagt eBay-Sprecherin Maike Fuest. Das Abfischen persönlicher Daten über gefälschte Phishing-Mails sei wesentlich gefährlicher. "Um zu versuchen, an die Daten von Nutzern zu gelangen, werden andere Mechanismen, wie beispielsweise das Versenden gefälschter E-Mails, die einen Trojaner enthalten, eingesetzt", so Fuest.
Sicherheit von Auktionsportal wieder in der Kritik
von Alfred Krüger
Datendiebe haben bei eBay ein neues Schlupfloch entdeckt. Über eine Sicherheitslücke im System werden ungehindert Kundendaten abgegriffen, behaupten Internetaktivisten. eBay wiegelt ab. Die Lücke sei bekannt, ihr Missbrauch aber nahezu unmöglich.
Drucken Versenden 12.03.2008
eBay gehört zu den populärsten Webseiten im deutschsprachigen Internet - und offenbar auch zu den gefährlichsten. Cyberkriminelle haben das weltgrößte Internetauktionshaus ständig im Visier. Sie nutzen jedes denkbare Schlupfloch, um widerrechtlich in das Portal des Marktführers in Sachen Online-Auktionen einzudringen und eBay-Kunden zu betrügen.
Schnäppchen mit Folgen
Jüngstes Schlupfloch ist eine Sicherheitslücke, mit deren Hilfe Internetbetrüger die persönlichen Daten von eBay-Kunden auslesen können. Das jedenfalls sagt "Falle Internet", eine private Initiative, die es sich auf ihre Fahnen geschrieben hat, über Internetgefahren aufzuklären. Realnamen und Postadressen von eBay-Kunden könnten abgefischt werden, dazu Passwörter, Email-Adressen sowie Transaktionen, die der Kunde bei eBay durchgeführt hat. Mit diesen Daten im Gepäck lässt sich ein eBay-Account problemlos übernehmen und in aller Ruhe für Betrügereien nutzen.
Die Datendiebe gehen laut "Falle Internet" geschickt zu Werke. Sie stellen bei eBay ein interessantes Schnäppchen ein, das viele Bieter anlocken könnte. In die Angebotsseite betten sie den Link zu einer speziell präparierten Flash-Animation ein. Solche Animationen werden nicht auf den Servern des Internetauktionshauses, sondern auf beliebigen anderen Rechnern irgendwo im Internet gespeichert.
Flash-Animationen sind bei eBay nur in Ausnahmefällen erlaubt. "Wir stellen sicher, dass nur besonders vertrauenswürdige Mitglieder solche Technologien nutzen dürfen - Mitglieder, die besondere Verifizierungsmaßnahmen durchlaufen haben oder die bereits eine lange Historie als eBay-Mitglied haben", erklärt eBay-Sprecherin Maike Fuest heute.de. "Als zusätzliche Schutzmaßnahme setzt eBay Technologien ein, um solche Schadsoftware zu erkennen und entsprechende Angebote vom eBay-Marktplatz zu entfernen."
"Lücke bekannt, aber nicht gestopft"
Trotzdem gelingt es Datendieben offenbar, die eBay-Sicherheitsvorkehrungen zu umgehen und Flash-Animationen in ihre Angebote einzubinden. Sie manipulieren diese Animationen und fügen ihnen schädlichen Programmcode hinzu. Beim Aufrufen der Seite wird automatisch auch die Flash-Animation aufgerufen und in den PC des eBay-Kunden geladen. Das angehängte Schadprogramm wird ausgeführt. Die Nutzer merken davon nichts.
Die Methode ist nicht neu. "Das Einschleusen fremden Codes ist unter dem Begriff Cross-Site-Scripting (XSS) schon seit Jahren bekannt", sagt Markus Schwinn von "Falle Internet" und erhebt schwere Vorwürfe gegen eBay. Den Betreibern des Internetauktionshauses sei die Sicherheitslücke längst bekannt. "Wirkungsvoll beseitigt wurde sie bis heute nicht", behauptet "Falle Internet".
Heute.de hat die Auswirkungen der XSS-Lücke bei eBay überprüft - mit frappierendem Ergebnis. Der Besuch einer auf den ersten Blick völlig harmlosen Angebotsseite und das Bieten auf den Artikel reichten für einen Datendiebstahl aus. Der Blick in den Quelltext der manipulierten Angebotsseite offenbart: Es wird eine "unsichtbare" Flash-Animation eingebunden, die offenbar ein schädliches Programm enthält - mit "Erlaubnis" von eBay. Der Account-Inhaber ist verifiziertes PayPal-Mitglied und erfüllt die Kriterien, um Flash-Dateien zu benutzen.
So arbeiten die Datendiebe
Das schädliche Programm leistet ganze Arbeit. Es manipuliert das eBay-Login-Formular, zu dem jeder eBay-Kunde weitergeleitet wird, wenn er auf einen Artikel bietet. Nutzernamen und Passwort müssen hier eingegeben werden. Die Daten werden dann aber nicht an eBay gesendet, sondern an einen fremden Server umgeleitet. Sie werden benutzt, um automatisch weitere Daten vom persönlichen Account bei eBay abzurufen und zu speichern.
[highlight=red]Die manipulierte Login-Seite unterscheidet sich auf den ersten Blick in nichts von einer regulären eBay-Seite. Nur wer genauer hinschaut, merkt: Es wird keine verschlüsselte Verbindung zu eBay-Servern aufgebaut - erkennbar beispielsweise daran, dass die im Browser angezeigte Webadresse nicht mit "https", sondern nur mit "http" beginnt. Das aber dürfte nur den wenigsten eBayern auffallen. [/highlight]
Die schädlichen Programme, die über die XSS-Lücke in die Rechner von eBay-Nutzern geschleust werden, sind in der Programmiersprache JavaScript geschrieben. Was sie im Rechner ihrer Opfer bewirken sollen, bleibt der Fantasie der Internetbetrüger, ihrer kriminellen Energie und ihren Programmierkenntnissen überlassen. Allein schon der Besuch einer entsprechend manipulierten Angebotsseite könnte deshalb gefährlich sein, sagt "Falle Internet".
"Lücke hat keine praktische Relevanz"
Die XSS-Lücke wird den Angaben zufolge schon seit geraumer Zeit von Internetbetrügern bei eBay genutzt. "Banden von Kriminellen kennen sich mit den Techniken von JavaScript und XSS bestens aus", sagen die Internetaktivisten. Die Palette der Manipulationen habe bereits "eine beachtliche Vielfalt" angenommen. Man habe eBay mehrfach über die Gefahren informiert. Bis heute sei die Lücke aber nicht vollständig geschlossen worden.
eBay bestreitet, dass die XSS-Lücke auf seinen Portalseiten in großem Umfang missbraucht wird. "Grundsätzlich hat diese Form des Missbrauchs weder in der Vergangenheit noch heute praktische Relevanz auf unserem Marktplatz", sagt eBay-Sprecherin Maike Fuest. Das Abfischen persönlicher Daten über gefälschte Phishing-Mails sei wesentlich gefährlicher. "Um zu versuchen, an die Daten von Nutzern zu gelangen, werden andere Mechanismen, wie beispielsweise das Versenden gefälschter E-Mails, die einen Trojaner enthalten, eingesetzt", so Fuest.
