Hat auch die eBay-Sicherheitsabteilung »ein offenes Fenster zum Hof«? - die Fortsetzung.
Geändert am 22.04.2007Und täglich grüßt das Murmeltier ...
Am 30.01.2007 veröffentlichte falle-internet.de eine Pressemeldung zu einem für eBay recht peinlichen Auftritt eines Hackers, der sich Vladuz nennt, im eBay-Forum.
Nach seinen effektvollen ersten Auftritt erschien der Hacker Vladuz am 31.01.2007 erneut im deutschsprachigen eBay-Diskussionsforum „Sicherheit“, offensichtlich stolz auf seine „Berühmtheit“:
Mit dem Kommentar »You love my shop? Awww. Sweet. Want some candy?« präsentierte er als „Erkennungsmerkmal“ erneut ein Bildschirmfoto:
Das von Vladuz veröffentlichte Original-Bildschirmfoto wurde zur Veröffentlichung an dieser Stelle so unkenntlich gemacht, dass weder persönliche Daten von eBay-Mitgliedern noch eventuelle interne Funktionsprozesse nachvollziehbar sind.
Dieses Bildschirmfoto zeigt eine unbekannte Software, in der eine ganze Anzahl von Benutzerkonten von eBay-Mitarbeitern gelistet sind. Das Brisante: in der Liste sind möglicherweise echte Anmeldedaten und möglicherweise echte Fragmente der Passwörter dieser Benutzerkonten zu erkennen. Die auf dem Bildschirmfoto erkennbaren Karteikarten-Bezeichnungen „Supervisors“ und „Teams“ sollen vermutlich den Eindruck erwecken, dass es sich bei dem Bildschirmfoto um eine Abbildung einer eBay-eigenen Software handelt. Aber es fällt schwer zu glauben, dass eine solche Software Passwörter im Klartext anzeigen würde.
Es ist jedoch eine Tatsache, dass sich der Hacker Vladuz erneut als eBay-Mitarbeiter (dieses Mal als „cgould@ebay.com“) ins Forum einloggen konnte:
An den beiden letzten Kommentaren von Vladuz ist zu erkennen, das Vladuz offensichtlich des Russischen mächtig ist.
Nun ist es unglaubwürdig, dass dieser Account des eBay-Mitarbeiters rein zufällig übernommen wurde. Es ist gewissermaßen eine Steigerung des ersten Auftritts des Hackers Vladuz, die erkennen lässt, dass weitere Aktionen folgen könnten. Auf dem Bildschirmfoto kann man erkennen, dass er offensichtlich Zugriff auf mehrere Benutzerkonten von eBay-Mitarbeitern hat(te).
Die gestrigen eBay-Erklärungen können wohl nicht länger aufrecht erhalten werden. Bis dato gibt es aus der Führungsetage der weltgrößten Handelsplattform keine bekannte Stellungnahme nur eine Stellungnahme einer eBay-Mitarbeiterin in der entsprechenden Diskussion mit folgendem Wortlaut:
»F.Y.I.
Aus gegebenen Anlass wurden heute Nacht bzw. heute Morgen einige Postings hier gelöscht.
Bitte beachtet dazu die nachfolgenden Informationen:
Einzelne Postings in diesem Thread wurden nicht von einem eBay Mitarbeiter abgegeben, sondern durch den Missbrauch eines Pinkliner-Accounts.
Pinkliner-Accounts sind gewöhnliche eBay-Mitgliedskonten, deren Beiträge in den eBay Foren entsprechend farblich gekennzeichnet werden.
Es konnte jedoch zu keinem Zeitpunkt über das Pinkliner-eBay-Mitgliedskonto auf das eBay-System, entsprechende interne Tools oder jegliche Mitgliedsdaten zugegriffen werden.
Freundliche Grüße,
Marlene vom eBay Team«
Aus gegebenen Anlass wurden heute Nacht bzw. heute Morgen einige Postings hier gelöscht.
Bitte beachtet dazu die nachfolgenden Informationen:
Einzelne Postings in diesem Thread wurden nicht von einem eBay Mitarbeiter abgegeben, sondern durch den Missbrauch eines Pinkliner-Accounts.
Pinkliner-Accounts sind gewöhnliche eBay-Mitgliedskonten, deren Beiträge in den eBay Foren entsprechend farblich gekennzeichnet werden.
Es konnte jedoch zu keinem Zeitpunkt über das Pinkliner-eBay-Mitgliedskonto auf das eBay-System, entsprechende interne Tools oder jegliche Mitgliedsdaten zugegriffen werden.
Freundliche Grüße,
Marlene vom eBay Team«
Offensichtlich hat die Sicherheit von eBay gegen solche Angriffe keine Handhabe. Falls dieses Schauspiel länger anhält, wird man schon gespannt sein dürfen, wie eBay extern und intern reagiert.
Die Auftritte machen Vladuz offensichtlich Spaß - und auch dem Publikum. Zitat aus dem Forum:
»Und wenn da hinten am anderen Ende jemand sitzt, der die Stimmung in den Foren analysiert, dann kann er vergleichen, wie viel Sympathie dem Hacker Vladuz entgegengebracht wird und wie wenig in den Chats mit dem Management davon zu spüren ist.
Hier sind keine Script-Kiddies, die einen Hacker als Helden feiern, sondern Leute, die jeden Tag mit den Opfern der Betrüger zu tun haben.
Sie sind so verbittert über die Ignoranz und Arroganz seitens eBay, dass sie inzwischen bei ihrem Engagement gegen eBay-Betrug in eBay selbst den größten Widersacher sehen.
Und deshalb gönnt man es eBay einfach ...«
Hier sind keine Script-Kiddies, die einen Hacker als Helden feiern, sondern Leute, die jeden Tag mit den Opfern der Betrüger zu tun haben.
Sie sind so verbittert über die Ignoranz und Arroganz seitens eBay, dass sie inzwischen bei ihrem Engagement gegen eBay-Betrug in eBay selbst den größten Widersacher sehen.
Und deshalb gönnt man es eBay einfach ...«
»Der PC ist ein offenes Fenster zum Hof und muss gesichert werden«, sagt Ebay-Sicherheitsexperte Oliver Weyergraf in Interviews. Heute muss man sich fragen, wieweit ist das Fenster bei eBay offen zum Hof?
Update 1.2.2007
Die Diskussion im deutschsprachigen eBay-Diskussionsforum „Sicherheit“, in dem der Hacker Vladuz die letzten Tage sein Unwesen trieb, wurde komplett gelöscht.
Was sind Takeover?
