Cross-Site-Scripting-Lücke auf Ebay entdeckt

Ein Mitarbeiter des deutschen Sicherheitsanbieters Greenbone hat ZDNet und andere deutsche Medien über eine Cross-Site-Scripting-Lücke (XSS) auf Ebay informiert. Wer über ein Verkäuferkonto verfügt, könnte die Schwachstelle nutzen, um über Ebay Schadcode zu verteilen.

Ebay ist aufgrund seiner Bekanntheit ein beliebtes Ziel für Kriminelle, die es als Verteilstation nutzen: Kaum ein Anwender wundert sich, wenn er einen Link zu einem Auktionsangebot dort erhält; die meisten würden bedenkenlos darauf klicken. Immerhin beschäftigen sich aus diesem Grund auch besonders viele Sicherheitsforscher damit und melden eventuelle Schwachstellen Ebays Sicherheitsteam.

Ebay wurde bereits von zwei Monaten über die Lücke informiert. Behoben wurde sie bislang noch nicht. Stattdessen wird die Schwachstelle kleingeredet. Golem gegenüber teilte Ebay mit:

„Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren.“

Offenbar handelt es sich um eine vorformulierte Presseerklärung. Schon in der Vergangenheit wurden auf der Online-Auktions-Plattform XSS-Lücken entdeckt. Außerdem widerspricht der erste Teil der Erklärung, dass Ebay die Verkäufer daran hindere, „bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.“, den gemachten Entdeckungen von Greenbone. ZDNet konnte sich davon überzeugen, dass die Lücke noch immer aktiv ist. Zudem  werden in der Artikelbeschreibung Technologien wie Flash oder JavaScript gar nicht benötigt.

XSS-Lücken entstehen leicht, wenn eine Site Eingaben ermöglicht – etwa in Form eines Feedback-Formulars. 2011 hatte sogar die Site des Sicherheitsanbieters McAfee eine solche Schwachstelle enthalten. Wie eine XSS-Lücke genau funktioniert, wird im Blog SDCybercom näher beschrieben. Anwender, die sich vor XSS-Attacken schützen wollen, verwenden unter Firefox die Erweiterung Noscript verwenden. Sie verhindert die Ausführung von JavaScript-Code.

Erst gestern hat Ebay über ein Sicherheitsvorfall berichet, der sich bereits Ende Februar ereignet hatte. Durch gestohlene Mitarbeiter-Log-ins hatten sich die Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft, die neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummer und Geburtsdatum gespeichert waren. Ebay hat seine 143 Millionen Nutzer inzwischen zur Änderung ihres Pasworts aufgerufen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de