In der heutigen Ausgabe der c't empfiehlt der Heise Verlag, sich selber vor Phishing Aktionen auf der eBay-Plattform zu schützen. Dazu gehört es, JavaScript vor jedem Besuch auf der eBay Website abzustellen. Ferner sollte man die eBay URL direkt in die Adresszeile des Browsers eingeben und sich dann sofort einloggen. User gelangen so auf eine SSL-Seite, deren Zertifikat auf "signin.ebay.de" lautet. Danach sollten keine erneuten Anmeldedaten eingeben werden, so die c't.
Kritik an der Sicherheit der eBay Plattform gab es unter Insidern schon lange. Lange aber haben Programmierprofis es jedoch nicht gewagt, diese Lücken öffentlich zu machen, weil eBay solche Aktionen schnell verkriminalisiert. Nicht eBay will danach unverantwortlich handeln, sondern der Programmierer, der das "Hausrecht" von eBay verletzt.
Das Entwicklerteam von Validome hat sich dann endlich dieser Problematik angenommen und Kontakt zu eBay aufgenommen. eBay lehnte aber weitere Informationsgespräche ab. Danach wurden Heise.de und Stern TV kontaktiert und die Sicherheitslücke wurde am 15.12. bei Heise.de live demonstriert. Am Abend desselben Tages sollte A. Leporda von Validome die Live-Demo beim RTL Sender Stern TV wiederholen, was aber nicht gelang. eBay hatte offenbar aus der Demo am Nachmittag genügend Informationen gewonnen, um die vorbereiteten Testauktionen von Validome aufspüren zu können.
In den folgenden Tagen installierte eBay dann eine Reihe von Filtermechanismen, um schädliches JavaScript in Auktionen zu verhindern. Einer dieser Filter überprüft den eingegebenen HTML-Text beim Anlegen einer neuen Auktion. Ein Problem dieser Filter ist jedoch, dass sie nur das abfangen können, womit ihr Programmierer gerechnet hat. So ist es nicht weiter erstaunlich, dass Validome schon nach einigen Tagen wieder einen Weg präsentieren konnte, den Bieter aus einer eBay-Auktion heraus auf eine Phishing-Seite umzuleiten. Diese Aktion wurde von RTL noch einmal gefilmt und in der Stern TV Sendung am 22.12.04 gezeigt. An diesem Abend konnte eBay auch eine Live Demo bei Stern TVnicht verhindern.
Validome hat laut c't rund 10.000 Auktionen gescannt und in etwa sieben Prozent davon JavaScript gefunden. Ob der durch die Live-Demo geführte Nachweis, dass die Sicherheitslücke keineswegs nur -theoretisch- besteht, bei eBay zu weiteren Reaktionen führt, war für die c’t leider nicht in Erfahrung zu bringen. Der Sprecher des Auktionshauses, Nerses Chopurian, lehnte unter Hinweis auf die Live Aktion bei Heise.de das Gespräch mit der c't ab.
Dem andawari GmbH Geschäftsführer A. Leporda wurden dann weitere Stellungnahmen und Demonstrationen bei Stern TV mit einer Einstweiligen Verfügung durch eBay untersagt. Die Verfügung soll mit einer Eidesstattlichen Versicherung eines eBay-Mitarbeiters begründet sein, wonach Validome eine Phishing Aktion ohne Zustimmung des Account-Inhabers durchgeführt hat. Aus dem Hause andawari war allerdings zu erfahren, dass die besagte und von Stern TV gefilmte Demonstration mit einem Account durchgeführt worden ist, der speziell für solche Zwecke von einer Stern TV Mitarbeiterin angelegt wurde.
