Das Problem wird von eBay bagatellisiert und darauf hingewiesen, dass die „Nutzung von Technologien wie JavaScript oder Flash an bestimmte Kriterien geknüpft“ ist. Jeden Tag fallen Mitgliedskonten mit den erforderlichen Eigenschaften in die Hände von Kriminellen, im letzten Jahr wurden ca. 15.000 in einer „Sammelliste für gehackte Accounts (Take Over/Hijacked)“ im eBay-Sicherheitsforum veröffentlicht.
Über ein einziges übernommenes Mitgliedskonto mit 30 manipulierten Angeboten und je 50 Zugriffen können hunderte gestohlener Datensätze argloser eBay-Nutzer weitergeleitet werden. Mittels der so erworbenen Daten lassen sich gezielt echt aussehende Pishing-Mails mit dem Sicherheitsmerkmal „Anrede mit Vor- und Nachnamen“ anfertigen und verschicken. So kommen Täter an immer neue Mitgliedskonten. Auf Web-Seiten werden durch Phishing übernommene Mitgliedskonten mit Passwort zum Verkauf angeboten, die Preise für Hunderter-Pakete steigen je nach Qualität, auch die Kriterien für den Einsatz von Flash-Einbindungen sind im Angebot.
Zum Bericht „Kriminelle können Daten von Ebay-Kunden ausspähen“ hat SPIEGEL-ONLINE in einer Fotostrecke den Testablauf dokumentiert, vom Aufruf einer präparierten Auktionsseite bis zum Verschicken des kompletten Datensatzes und des Passworts. Offenbar will eBay bei der eBay-XSS-Flash-Sicherheitslücke erst abwarten, bis sich die „praktische Relevanz“ ergibt.
Existierende Sicherheitslöcher sind grundsätzlich zu schließen! Die Tatsache, dass die Schwachstelle vielfach ausgenutzt wurde, müsste jeden sicherheitsbewussten Plattformbetreiber zur Eile nötigen. Aber die Politik des Reagierens statt des Agierens hat eBay in der Vergangenheit eine Menge vermeidbarer Sicherheitsprobleme beschert.