Nach Hackerangriff Noch mehr Sicherheitsprobleme bei Ebay

Die Kritik an der Online-Handelsplattform Ebay hält an: Nach dem Hackerangriff weisen IT-Experten auf weitere Sicherheitsprobleme hin. Eine schwerwiegende Lücke soll dem Unternehmen schon seit zwei Monaten bekannt sein.


"Ebay, das ist nicht dein Ernst, oder?", schrieb Kenn White am Sonntag bei Twitter. Der TrueCrypt-Sicherheitsexperte demonstrierte, wie Ebays neues Passwortsystem das notorisch schwache Passwort "Passwort1" einfach so akzeptierte, aber ein extrem sicheres Passwort ablehnte, weil es zu lang sei. "Ja, das ist tatsächlich so passiert."

Whites Twitter-Post war nur der Anfang: Zahlreiche Sicherheitsexperten diskutierten im Anschluss über Ebays Technik. Ein schneller Test von SPIEGEL ONLINE bestätigt die Befürchtung, dass das Prüfsystem der Plattform reichlich schwache Passwörter durchgehen lässt: Ebay verweigert zwar viele der allereinfachsten Passwörter wie 1234567 und abcdefg, akzeptiert aber gleichzeitig diverse andere als besonders unsicher geltende Passwörter, wie sie etwa in den Listen unbrauchbarer Passwörter auftauchen.

Den Schutzfaktor vieler dieser Passwörter markiert Ebay zwar als "schwach" oder "mittel", doch auch ein vom Passwortmanager LastPass als besonders sicher eingestuftes Passwort ("ngMizRCd6xO2l05b") wird als mittelsicher eingeschätzt. Das alles andere als unbekannte Passwort "Passwort1!" hingegen bekommt die Auszeichnung "stark".

Unbedarfte Ebay-Kunden, die den Einschätzungen des Systems vertrauen, machen sich so möglicherweise zum leichten Opfer für sogenannte Wörterbuchangriffe auf ihr Nutzerkonto. Bei diesen Angriffen bedienen sich Angreifer zum Beispiel einer Liste der beliebtesten Passwörter, um unbekannte Nutzerkonten zu knacken.

Wer sein Passwort nach dem Hackerangriff ändern will, sollte sich also am besten nicht ausschließlich auf die Sicherheitstipps der Plattform verlassen. Auf SPIEGEL-ONLINE-Anfrage hieß es von Ebay, man werde den Hinweis prüfen, ob Passwörter mit unangemessenen Sicherheitsleveln gekennzeichnet werden. Wie man bei Ebay sein Passwort wechselt, erklärt unsere Fotostrecke.

Angeblich 13 Schwachstellen in einer Nacht entdeckt

Doch nicht nur das Passwortsystem bringt Ebay nach dem Hackerangriff erneut in die Schlagzeilen: In den vergangenen Tagen gab es Hinweise auf weitere Sicherheitslücken. Sicherheitsexperte Jordan Jones etwa will allein in einer Nacht 13 Schwachstellen entdeckt haben. In einem Blog zeigt er fingierte Ebay-Angebote, deren Aufruf zur Manipulation des Browsers führt. Die Ebay-Seite erscheint daraufhin verschoben, im Hintergrund ist ein Ziffernblatt zu sehen - eine Sicherheitslücke, die Montagvormittag allerdings gestopft zu sein schien.

Eine weitere Meldung dreht sich um den deutschen Sicherheitsforscher Michael E.. Er will Ebay schon vor zwei Monaten auf eine schwerwiegende Sicherheitslücke hingewiesen haben, sagte er der Tech-Seite "Golem". Über einen sogenannten Cross-Site-Scripting-Angriff (XSS) konnte E. auf präparierten Ebay-Angeboten eigenen Programmcode unterbringen, um so zum Beispiel fremde Nutzerkonten übernehmen zu können.

Die genannten Sicherheitslücken haben eine gemeinsame Wurzel: Sie nutzen aus, dass Ebay den Kunden die Möglichkeit gibt, aktive Inhalte in ihren Angeboten unterzubringen, also zum Beispiel JavaScript-Programme und Flash. Ebay führt eine schwarze Liste von Programmbausteinen oder Funktionen, die nicht erlaubt sind. So ein Blacklisting-Ansatz wägt zwischen Händler-Komfort und Nutzer-Sicherheit ab, da er nur vor dem Schutz bietet, was bereits bekannt ist.

In einer Stellungnahme schreibt Ebay: "Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren." Ein Zusammenhang zwischen den beschriebenen Sicherheitslücken und dem Hackerangriff besteht laut Ebay nicht.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 12 Beiträge
Alle Kommentare öffnen
Seite 1
lauterbachheiner 26.05.2014
1. Ebay hat das überhaupt nicht im Griff
Wollte das Passwort ändern und hab beim ersten Versuch den Loginnamen verwendet. -> Wir haben eine Email... jajaja, ich warte drauf es kommt keine Email... Nochmal von vorn. Loginnamen eingeben und schauen das alles korrekt ist. -> ... an die hinterlegte Adresse ...völligfalsch@unsinn.de versandt. Wie bitte? Wurde mein login bereits gehackt? Nein, im Profil steht die korrekte Adresse, aber beim Passwortändern wurde eine völlig falsche Adresse genommen. Nochmal von vorn und nun mit der Email Adresse manuell eingegeben und es funktionierte korrekt. Was ist da los? Mal davon abgesehen das ich nicht wirklich was bei Ebay versteiger oder ersteiger, aber das macht mich schon stutzig und ich denke eher über eine komplette Löschung nach.
c.PAF 26.05.2014
2.
Zitat von sysopDie Kritik an der Online-Handelsplattform Ebay hält an: Nach dem Hackerangriff weisen IT-Experten auf weitere Sicherheitsprobleme hin. Eine schwerwiegende Lücke soll dem Unternehmen schon seit zwei Monaten bekannt sein. http://www.spiegel.de/netzwelt/web/ebay-passwortwechsel-nach-hackerangriff-weitere-sicherheitsprobleme-a-971661.html
Jetzt hackt doch nicht so auf ebay rum, dank Painpal ist es doch sicherererer, oder so...
felisconcolor 26.05.2014
3. hm wenn man
seine mail adresse falsch hinterlegt hat passiert das wohl. ok Fehler passieren überall. bei mir klappte das Ändern des Passwort auf Anhieb. Nicht alles Gold was glänzt aber auch nicht dramatisch. Aber man hat Ebay nach und nach immer mehr verschlimmbessert. Einfach ist manchmal besser schöner sicherer. Dieser Klickibuntiquatsch ist nur fehleranfällig. leider wie man immer wieder sieht. Also besser back to the roots
Jay's 26.05.2014
4. Nun "Passwort1"
ist Deutsch, hat grosse und kleine Buchstaben und eine Zahl. Ebay kommt aus den USA. Vermutlich wird "password1" als zu schwach abgelehnt ;)
dani7830 26.05.2014
5.
es vergeht keine woche wo irgendwo ein Unternehmen die zugangsdaten entwendet werde. man ist nur noch damit beschäftigt seine Passwörter zu ändern. ich mache es sowieso jeden monat. mal sehen welches Unternehmen als nächstes dran ist.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.