Hat auch die eBay-Sicherheitsabteilung „ein offenes Fenster zum Hof“?
Geändert am 22.04.2007
Vladuz macht keinen Hehl daraus, dass er ein Hacker bei eBay ist. Im Gegenteil: in Foren und Blogs hinterlässt er seine Werbung:
»For ANY scam email me fac@frauda.net and I'll do it in max 30 hours«.
Zur Demonstration seiner Fähigkeiten präsentiert Vladuz Bildschirmfotos von Recherche-Programmen, die nur eBay-Mitarbeitern zugänglich sein sollten.
Bereits seit Monaten kursieren solche Bildschirmfotos im WorldWideWeb und lösen Rätselraten aus:
Dieses von Vladuz veröffentlichte und anonymisierte Bildschirmfoto wurde sicherheitshalber entfernt. Im WWW ist dieses Bildschirmfoto zum Beispiel hier zu finden (nicht anonymisiert): http://www.auctionguild.com/generic146.html.
Zunächst wurde spekuliert, ob es sich um ein Hacker-Tool handelt, wie der Programm-Name „SCO Helper“ nahe legte. SCO ist die Abkürzung für Second Chance Offer, das sogenannte Zweitbieter-Angebot. Wenn der Höchstbieter vom Kauf zurücktritt, kann der Verkäufer einem unterlegenen Bieter das Angebot zum Sofortkauf unterbreiten. Diese Funktion wurde in der Vergangenheit für viele Betrugsversuche missbraucht.
Doch die Bildschirmfots zeigen vermutlich eine Software, die von eBay-Mitarbeitern benutzt wird, um Takeover aufzuspüren: sogenannte „gehackte Benutzerkonten“, über die im Namen ahnungsloser ehrlicher Mitglieder betrügerische Angebote eingestellt werden.
Kann ein Hacker in die eBay-Datenbank eindringen, ausgerechnet dort, wo an der eBay-Sicherheit gearbeitet wird?
Über diese Bildschirmfotos wurde im deutschsprachigen eBay-Diskussionsforum „Sicherheit“ diskutiert, auch nach der Löschung von Beiträgen und Bildern wurde das Thema immer wieder aufgegriffen.
Am 28.1.2007 meldete sich der Account vladuz00 in der Nachfolge-Diskussion „Warum ist dieser Thread wech??“ zu Wort:
»Now, can you guys tell me whats this thread all about because I don't understand a word in german and I'm very curious as to why you are referencing my name here and in other threads on this forum«
. Dazu stellte er erneut Bilder von Software zur Überprüfung von eBay-Accounts ein: einige zeigten wieder „Ahab - The Account Takeover Tool“ in Aktion:
»Now, can you guys tell me whats this thread all about because I don't understand a word in german and I'm very curious as to why you are referencing my name here and in other threads on this forum«
. Dazu stellte er erneut Bilder von Software zur Überprüfung von eBay-Accounts ein: einige zeigten wieder „Ahab - The Account Takeover Tool“ in Aktion:
Dieses von Vladuz veröffentlichte und anonymisierte Bildschirmfoto wurde sicherheitshalber entfernt. Dieses von Vladuz veröffentlichte und anonymisierte Bildschirmfoto wurde sicherheitshalber entfernt.
Nach der Sperre des Accounts vladuz00 erschien vladuz02, um das erstaunte Publikum zu verhöhnen. Es wurden Zweifel geäußert, ob es sich um einen Trittbrettfahrer handelt oder ob man es hier tatsächlich mit dem Autor des berüchtigten „eBay E-Mail Extractors“ zu tun hat. Diesem Programm wird nachgesagt, dass man damit die E-Mail-Adresse jedes bietenden eBay-Mitglieds auslesen kann, um betrügerische Zweitbieter-Angebote oder Phishing-Mails direkt zu verschicken.
Erneut präsentierte vladuz02 Bildschirmfotos, die nur eBay-Mitarbeitern zugänglich sein sollten:
Dieses von Vladuz veröffentlichte und anonymisierte Bildschirmfoto wurde sicherheitshalber entfernt. Im WWW ist dieses Bildschirmfoto zum Beispiel hier zu finden (1. Bild - nicht anonymisiert): http://www.ebaymotorssucks.com/vladuz-1.htm.
Eines der Bilder zeigte das Programm „eBay CS Investigator“, mit dem man zum Beispiel „Shill Bidding“ erkennen kann. Das Bieten auf eigene Angebote - um den Preis künstlich zu erhöhen - wird in USA als strafbarer Betrug gewertet:
Dieses von Vladuz veröffentlichte und anonymisierte Bildschirmfoto wurde sicherheitshalber entfernt. Im WWW ist dieses Bildschirmfoto zum Beispiel hier zu finden (3. Bild - nicht anonymisiert): http://www.ebaymotorssucks.com/vladuz-1.htm.
Die dargestellten Vorgänge sind teilweise noch nachvollziehbar, es handelt sich also um echte Daten von eBay-Mitgliedern.
Das erste Bild zeigt einen VPN-Zugang, über den man sich in ein Netzwerk einloggen kann, zum Beispiel wenn Mitarbeiter von zuhause aus Arbeiten mit der Datenbank ihrer Firma erledigen.
Mit dem Eintrag seines Namens und der Bemerkung: connects to ebay mainframe suggerierte er, er könne diese Schnittstelle selbst benutzen. Es handelt sich jedoch zunächst nur um ein Web-Formular, welches mit beliebigen Daten ausgefüllt werden kann und darum keine Beweiskraft für eine tatsächliche Zugangsmöglichkeit zur eBay-Datenbank hat. Die wiederholte Aufforderung, aktuelle Daten zu präsentieren, blieb unbeantwortet.
Ein Bluff also?
Einen Trumpf konnte Vladuz aber dennoch noch ausspielen: es gelang ihm, sich am Nachmittag des 29.01.2007 in den Foren als eBay-Mitarbeiter rflello@ebay.com einzuloggen, die eBay-Mitarbeiter (die sogenannten „Pinkliner“) sind erkennbar an einem farbig unterlegten Streifen - Beispiele von seinen zahlreichen Beiträgen:
Das entsprechenden Benutzerkonto des eBay-Mitarbeiters musste er vorher gehackt haben. Das offenbart zwar eine bedenkliche Sicherheitslücke, aber der Zugriff auf die eBay-Datenbank wird auch damit nicht bewiesen. Eher im Gegenteil, das berechtigt zu der theoretischen Annahme, dass Vladuz sich lediglich Zugang zu einem eBay-Mitarbeiter-Benutzerkonto verschafft hat, womöglich mitsamt der zugehörigen Mailbox, in der die veröffentlichten Bildschirmfotos abgelegt waren.
»Der PC ist ein offenes Fenster zum Hof und muss gesichert werden«, sagt eBay-Sicherheitsexperte Oliver Weyergraf in Interviews. Das gilt auch für eBay-Mitarbeiter, denn bei mindestens einem von ihnen lag die Schwachstelle - demonstriert von Vladuz im deutschsprachigen eBay-Diskussionsforum „Sicherheit“.
Was sind Takeover?
