Der eBay-XSS-Flash-Exploit – Nachtrag
zur Stellungnahme von eBay

Geändert am 13.03.2008
Das Problem wird von eBay bagatellisiert und darauf hingewiesen, dass die „Nutzung von Technologien wie JavaScript oder Flash an bestimmte Kriterien geknüpft“ ist. Jeden Tag fallen Mitgliedskonten mit den erforderlichen Eigenschaften in die Hände von Kriminellen, im letzten Jahr wurden ca. 15.000 in einer „Sammelliste für gehackte Accounts (Take Over/Hijacked)“ im eBay-Sicherheitsforum veröffentlicht.
Über ein einziges übernommenes Mitgliedskonto mit 30 manipulierten Angeboten und je 50 Zugriffen können hunderte gestohlener Datensätze argloser eBay-Nutzer weitergeleitet werden. Mittels der so erworbenen Daten lassen sich gezielt echt aussehende Pishing-Mails mit dem Sicherheitsmerkmal „Anrede mit Vor- und Nachnamen“ anfertigen und verschicken. So kommen Täter an immer neue Mitgliedskonten. Auf Web-Seiten werden durch Phishing übernommene Mitgliedskonten mit Passwort zum Verkauf angeboten, die Preise für Hunderter-Pakete steigen je nach Qualität, auch die Kriterien für den Einsatz von Flash-Einbindungen sind im Angebot.
In vielen Ländern, darunter beim Mutterhaus eBay USA, sind keine Beschränkungen für die Nutzung von JavaScript und Flash auferlegt, ein weltweites Angebot ist möglich. Es bleibt abzuwarten, welche Ausflüchte sich eBay dort gegenüber der Öffentlichkeit zurechtlegt.
Angebote werden mit JavaScript manipuliert, um auf gefälschte Einlogg-Seiten weiterzuleiten oder betrügerische Angebote zu unterbreiten. Trotzdem wird in der „Stellungnahme von eBay zum missbräuchlichen Einsatz von Schadsoftware in Artikelbeschreibungen“ behauptet: „Der Einsatz solcher Schadsoftware hatte und hat keine praktische Relevanz auf dem eBay-Marktplatz.“ Dem stehen schon allein die vielfach dokumentierten Nutzungen dieser Sicherheitslücke durch Kriminelle bei falle-internet.de entgegen:

Automatische Weiterleitungen mit Flash ...
Weiterleitungen / Automatismen mit Flash ...
Industrielle Geldfischerei ...
Rumänische Betrüger in der eBay-Entwickler-Zone ...
Visual Spoofing ...
Solche belegten Beispiele werden von eBay in der Stellungnahme ebenso unterschlagen wie die Kenntnis, dass ein „geprüftes Mitglied“ keineswegs immer korrekte Geschäftsabläufe garantiert:

Der große Bluff: „Geprüftes Mitglied“
Zum Bericht „Kriminelle können Daten von Ebay-Kunden ausspähen“ hat SPIEGEL-ONLINE in einer Fotostrecke den Testablauf dokumentiert, vom Aufruf einer präparierten Auktionsseite bis zum Verschicken des kompletten Datensatzes und des Passworts. Offenbar will eBay bei der eBay-XSS-Flash-Sicherheitslücke erst abwarten, bis sich die „praktische Relevanz“ ergibt.
falle-internet.de meint:
Existierende Sicherheitslöcher sind grundsätzlich zu schließen! Die Tatsache, dass die Schwachstelle vielfach ausgenutzt wurde, müsste jeden sicherheitsbewussten Plattformbetreiber zur Eile nötigen. Aber die Politik des Reagierens statt des Agierens hat eBay in der Vergangenheit eine Menge vermeidbarer Sicherheitsprobleme beschert.


ZUM SEITENANFANG