Neue Sicherheitslücke bei eBay?
Derzeit geistert die Meldung einer angeblich neuen eBay-Sicherheitslücke durch die Medien: Man kann über präparierte Artikelbeschreibungen die Anmeldenamen und die dazugehörigen Passwörter von Bietern ausspähen. Das ist aber ein alter Hut, denn ich hatte eBay bereits im Herbst 2003 Skripte zur Verfügung gestellt, mit denen unter anderem diese Sicherheitslücke demonstriert wurde. Damals hatte ich mich vertraglich verpflichtet, darüber nichts zu veröffentlichen - was eBay nichts gebracht hat, denn natürlich hatten auch andere diese Lücke entdeckt und ein Jahr später wurde sie doch öffentlich.
Neu ist nur, dass für die Demo dieser Lücke per gefälschtem Login-Dialog nicht bloss JavaScript verwendet wird, sondern ein nachgeladenes Flash-Applet.
Tatsache ist: eBay kennt diese Sicherheitslücken schon seit Oktober 2003, hat aber erst im September 2005 Maßnahmen zur Eindämmung ergriffen. Seitdem können nur Verkäufer, die entweder Teilnehmer des PowerSeller-Programms, "Geprüftes Mitglied", verifiziertes PayPal-Mitglied oder länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, auf dem deutschen eBay-Marktplatz Technologien wie JavaScript und Flash in der Gestaltung ihrer Angebote verwenden.
Tatsache ist wohl auch, dass bisher kein wirklich massenhaftes Ausnutzen dieser Sicherheitslücken bekannt geworden ist. Das ist aber kein Verdienst eBays: Denn zum Einen gelten die Beschränkungen nur für den deutschen Marktplatz und nicht weltweit. Und zum Anderen übernehmen Betrüger jährlich mehrere tausend eBay-Accounts, mit denen man diese Sicherheitslücken ausnutzen könnte.
In einer Pressemitteilung stellt eBay das Ganze als ziemlich harmlos dar:
Stellungnahme von eBay zum missbräuchlichen Einsatz von Schadsoftware in Artikelbeschreibungen
Dreilinden/Berlin, 12. März 2008 - Eine Gruppe engagierter Internet-Nutzer, die sich die Aufklärung über Gefahren im Internet zum Ziel gesetzt hat, informiert derzeit die Medien über Schadsoftware, die - eingebunden in eine Artikelbeschreibung - für einen missbräuchlichen Zugriff auf eBay-Nutzerdaten verwendet werden kann. Technisch basiert diese Schadsoftware auf JavaScript und der Verwendung von Flash-Technologie und Cross-Site Scripting.
eBay möchte zu der aufgeworfenen Thematik wie folgt Stellung nehmen:
Viele eBay-Mitglieder nutzen Technologien wie JavaScript oder Flash, um ihre Angebote attraktiver zu gestalten. Es besteht jedoch auch die Möglichkeit, auf Basis dieser Technologien Schadsoftware herzustellen.
Grundsätzlich gilt: Der Einsatz solcher Schadsoftware hatte und hat keine praktische Relevanz auf dem eBay-Marktplatz. Nichts desto trotz hat eBay zur Gewährleistung einer größtmöglichen Sicherheit auf dem deutschen Marktplatz bereits seit September 2005 die Nutzung von Technologien wie JavaScript oder Flash an bestimmte Kriterien geknüpft.
Nur Verkäufer, die entweder Teilnehmer des PowerSeller-Programms, "Geprüftes Mitglied", verifiziertes PayPal-Mitglied oder länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, können auf dem deutschen eBay-Marktplatz Technologien wie JavaScript und Flash in der Gestaltung ihrer Angebote verwenden. Wir setzen Technologien ein, die es uns ermöglichen, aktive Inhalte wie JavaScript und Flash auf diejenigen Verkäufer zu beschränken, die die von uns festgelegten Kriterien zur Nutzung dieser Inhalte erfüllen. Damit können nur besonders vertrauenswürdige eBay-Mitglieder solche Technologien bei der Gestaltung ihrer Artikelbeschreibungen einsetzen.
Es ist nahezu ausgeschlossen, dass PowerSeller, Mitglieder, deren Identität im Rahmen der Anmeldung als "Geprüftes Mitglied" von der Deutschen Post festgestellt und bestätigt wurde, verifizierte PayPal-Mitglieder oder solche Mitglieder, die bereits lange bei eBay Handel treiben und eine hohe Anzahl von Bewertungspunkten haben, den eBay-Marktplatz in dieser missbräuchlichen Weise nutzen.
Als zusätzliche Schutzmaßnahme setzt eBay Technologien ein, um solche Schadsoftware zu erkennen und entsprechende Angebote vom eBay-Marktplatz zu entfernen.
eBay arbeitet mit den oben erwähnten für die Sicherheit engagierten Internet-Nutzern zusammen, auch wenn die Verwendung derartiger Schadsoftware strafrechtlich relevant ist. Es besteht jedoch auf Seiten eBays kein Interesse, diese Internet-Nutzer zu kriminalisieren, da sowohl diese Gruppierung, als auch eBay das Ziel verfolgen, die Sicherheit im Internet immer weiter zu verbessern.
|
Der letzte Absatz bezieht sich auf die erste Reaktion eBays: Als engagierte Kritiker die Sicherheitslücken demonstrierten, wurde denen mit Strafanzeigen gedroht, weil sie damit gegen den sogenannten Hacker-Paragrafen verstoßen würden.
Mein Fazit:
Die Sicherheitslücke ist echt und seit Jahren bekannt. Und natürlich ist die Geschichte keineswegs so harmlos, wie eBay sie darstellt. eBay tut sich aber schwer damit, diese Lücke zu schließen: Mit den verwendeten Techniken wird nämlich derzeit auch eine Vielzahl nützlicher Anwendungen von Drittanbietern realisiert. Schließt man die Sicherheitslücke, dann entzieht man diesen Anwendungen den Boden. eBay hat hier eine Interessenabwägung zu Gunsten dieser Drittanbieter und zu Lasten von vermeintlich vernachlässigbaren Sicherheitsinteressen getroffen.
|
