Wer sich für Raritäten interessiert und bei eBay forscht, erlebt so manche Überraschung (Link 1) :
Am heutigen Mittwoch konnten interessierte eBay Bieter ein Glas Gurkenhonig zum aktuellen Gebotspreis von 22,50 Euro ersteigern. Hier wurde eine Honigsorte angeboten, die in mühsamer Handarbeit aus afrikanischen Bienengurken hergestellt wird und nur jenseits der 4000m - Grenze am Nordhang des Mount Ebay gedeiht.
Was nach dem Bietversuch passierte, war sensationell (Link 2) : Plötzlich befand man sich auf einer eBay ähnlichen Seite wieder mit dem Hinweis ...
... Dies ist die Demonstration einer Sicherheitslücke!
Geben Sie auf keinen Fall Ihre richtigen Zugangsdaten ein!...
Nach Eingabe des Benutzernamens und des Passwortes kam nicht wie erwartet die eBay Seite, sondern "validome.org (Link 3) " und heise.de (Link 4) mit den zuvor eingegebenen Benutzerdaten zurück.
Dies war eine eindrucksvolle Demonstration der eBay Sicherheitslücken durch heise.de (Link 5) in Zusammenarbeit mit den Programmierern von validome.org (Link 6) . Bisher hatte eBay stets versichert: "Der Handel im virtuellen Auktionshaus eBay ist nicht gefährdet; es handelt sich nur um theoretische Sicherheitslücken".
Sofern sich alle User an die Theorie halten, hat eBay recht, das Entwicklerteam von Validome zeigte bei heise heute aber sehr eindrucksvoll: In der Praxis ist die eBay-Plattform nicht mehr als ein kostenloser Selbstbedienungsladen für Cracker (Link 7) . Das Prinzip des Angriffs ist verblüffend einfach: Wer eine Auktion aufsetzt, kann in deren Präsentation JavaScript einbauen. Dieses Skript sorgt dafür, dass beim Klick auf "Bieten" nicht die eBay-Login-Seite erscheint, sondern auf eine gefälschte Login-Seite umleitet wird.
Die Demo setzte voraus, dass der Internet Explorer benutzt und Active Scripting zulassen (Standardeinstellung) war. Die Beschränkung auf diesen Browser war notwendig, da Validome das JavaScript kodiert hatte, um es vor den Augen von potenziellen Nachahmern zu verbergen. Trotz dieser Kodierung war nach kurzer Zeit der tatsächliche Code endcodiert und im Thread des Heise-Forums veröffentlicht.
...Wozu so geheimnisvoll, JScript.Encode ist doch wirklich kein Schutz, decoded: ...
Dieser Beitrag wurde von den Heise-Moderatoren sofort wieder entfernt. Es zeigt aber die Brisanz der Thematik und ihre Entwicklung. Die Praxis sieht halt doch anders aus! Trotz Kodierung des JavaScriptes geistert nun schon ein endcodiertes Duplikat durchs Internet und eBay dürfte sich nach der Theorie jetzt der Praxis zuwenden (müssen). Vielleicht hilft bis dahin ein Glas Gurkenhonig, der einen geruhsamen Schlaf verspricht.
Nachtrag:
eBays Praktiker haben es nach 3 1/2 Stunden geschafft, die Fake-Seite von Heise.de aus ihrem System zu entfernen. Heise hat zum Trost für "Nachzügler" einen kleinen WMV-Film (Link 8) vorbereitet, der das Bieten auf eine Auktion zeigt, die zum Login auf eine Phishing (Link 9) -Seite umleitet.
Stern TV (Link 10) soll heute (22.15 Uhr auf RTL) einen Beitrag zum Thema Passwortklau (Link 11) bei eBay (Link 12) planen, in dem eBay zu den Vorwürfen Stellung nehmen kann.
|
