ContinueURL-Sicherheitslücke wurde geschlossen

eBay hat rund einen Tag gebraucht, um die ContinueURL-Sicherheitslücke zu schließen. Details dieser Sicherheitslücke wurden vermutlich erstmals in einem Thread im eBay-Sicherheitsforum veröffentlicht, der aber schnell von eBay gelöscht wurde. Unabhängig davon hatte ich von einem aufmerksamen Leser die gefährliche Phishing-Mail weitergeleitet bekommen und darüber berichtet.

Bei einer näheren Analyse des enthaltenen Links war mir die Sicherheitslücke bei eBay aufgefallen und ich hatte auch darüber berichtet. Offenbar wurde die Sicherheitslücke in dem gelöschten Thread anders dargestellt, als in meinem Bericht. Das zumindest läßt dieser Artikel bei Heise vermuten: Demnach wurde man nicht direkt auf die im Parameter continueURL angegebene betrügerische Website geleitet, sondern loggte sich zuvor noch bei eBay ein und wurde erst dann weitergeleitet.

Die Schwachstelle wurde nun von eBay beseitigt, der Parameter continueURL kann nicht mehr verwendet werden. Der Link aus der Phishing-Mail funktioniert daher nicht mehr.

Zur Demonstration bei eBay möglicher Weiterleitungen hatte ich eine solche in meiner Mich-Seite eingerichtet und das in meinem Artikel gestern erwähnt. Ich hatte vermutet, eBay würde meine seit einigen Jahren in dieser Form bestehende Mich-Seite sofort löschen. Stattdessen bekam ich heute diese Verwarnungs-Mail:

Betreff: LP - Verwarnung - Mich-Seite - Aufforderung zur Aenderung

Hallo axelg ([email protected]),

Wir freuen uns, dass Sie die Moeglichkeit nutzen, sich und Ihre Angebote auf Ihrer "Mich"-Seite vorzustellen.

Leider mussten wir feststellen, dass Inhalte Ihrer "Mich"-Seite unter folgender URL gegen die eBay-AGB oder -Grundsaetze verstossen:

http://members.ebay.de/ws/eBayISAPI.dll?ViewUserPage&userid=axelg

Ihre "Mich"-Seite enthielt Folgendes:

Automatische Weiterleitung zu wortfilter.de

Dies stellt einen Verstoss gegen die eBay-AGB oder den Grundsatz fuer Ihre "Mich"-Seite dar.

Aus diesem Grund moechten wir Sie bitten, Ihre "Mich"-Seite gemaess unserer AGB und Grundsaetze innerhalb von 48 Stunden umzugestalten. Sollten Inhalte Ihrer "Mich"-Seite nach Ablauf dieser Frist weiterhin einen Verstoss darstellen, so werden wir Ihre "Mich"-Seite loeschen.

Sie koennen Ihre "Mich"-Seite unter folgendem Link veraendern:
http://pages.ebay.de/services/aboutme/aboutme-login.html

Bitte beachten Sie bei der Gestaltung Ihrer "Mich"-Seite auch die AGB und Grundsaetze unter:
http://pages.ebay.de/help//policies/topics.html?topics.html#topSelection

Den Grundsatz zu "Mich"-Seiten finden Sie unter:
http://pages.ebay.de/help/account/about-me.html

Vielen Dank fuer Ihr Verstaendnis.

Mit freundlichen Gruessen,

Kundenservice (eBay-Sicherheit)
eBay Inc.

Für dieses Ansinnen habe ich natürlich großes Verständnis und werde meine jahrelang unbeanstandete Mich-Seite innerhalb der gesetzten Frist löschen.

Von einer eBay-Mich-Seite automatisch auf eine andere Seite weiterzuleiten verstößt tatsächlich gegen die eBay-AGB. eBay wäre aber gut beraten, solche Weiterleitungen nicht nur in den AGB zu verbieten, sondern sie gezielt auf den eigenen Seiten zu suchen und nicht erst auf Berichte darüber zu warten. Die derzeit noch aktive Weiterleitung in meiner Mich-Seite ist harmlos und eBay hat sie dank meiner Veröffentlichung schnell bemerkt. Weniger wohlmeinende Zeitgenossen würden wohl eher auf eine Phishing-Site umleiten. Es ist unwahrscheinlich, dass eBay in solchen Fällen von den Urhebern selbst informiert würde...

Axel Gronen Juni 2005aXel Gronen
Köln, 19.04.2006
Vorherige Meldung Vorherige Meldung

Meldungen 1. Quartal 2005     Meldungen 4. Quartal 2004     Meldungen 3. Quartal 2004
Meldungen 2. Quartal 2004     Meldungen 1. Quartal 2004     Meldungen 2002 und 2003

© 2006 bei Axel Gronen. Letzte Aktualisierung: 19.04.06.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo