Fotostrecke

Ebay: Wie Sie bei Ebay Ihr Passwort ändern

Nach Hackerangriff Noch mehr Sicherheitsprobleme bei Ebay

Die Kritik an der Online-Handelsplattform Ebay hält an: Nach dem Hackerangriff weisen IT-Experten auf weitere Sicherheitsprobleme hin. Eine schwerwiegende Lücke soll dem Unternehmen schon seit zwei Monaten bekannt sein.

"Ebay, das ist nicht dein Ernst, oder?", schrieb Kenn White am Sonntag bei Twitter . Der TrueCrypt-Sicherheitsexperte demonstrierte, wie Ebays neues Passwortsystem das notorisch schwache Passwort "Passwort1" einfach so akzeptierte, aber ein extrem sicheres Passwort ablehnte, weil es zu lang sei. "Ja, das ist tatsächlich so passiert."

Whites Twitter-Post war nur der Anfang: Zahlreiche Sicherheitsexperten diskutierten im Anschluss über Ebays Technik. Ein schneller Test von SPIEGEL ONLINE bestätigt die Befürchtung, dass das Prüfsystem der Plattform reichlich schwache Passwörter durchgehen lässt: Ebay verweigert zwar viele der allereinfachsten Passwörter wie 1234567 und abcdefg, akzeptiert aber gleichzeitig diverse andere als besonders unsicher geltende Passwörter, wie sie etwa in den Listen unbrauchbarer Passwörter auftauchen.

Den Schutzfaktor vieler dieser Passwörter markiert Ebay zwar als "schwach" oder "mittel", doch auch ein vom Passwortmanager LastPass als besonders sicher eingestuftes Passwort ("ngMizRCd6xO2l05b") wird als mittelsicher eingeschätzt. Das alles andere als unbekannte Passwort "Passwort1!" hingegen bekommt die Auszeichnung "stark".

Unbedarfte Ebay-Kunden, die den Einschätzungen des Systems vertrauen, machen sich so möglicherweise zum leichten Opfer für sogenannte Wörterbuchangriffe auf ihr Nutzerkonto. Bei diesen Angriffen bedienen sich Angreifer zum Beispiel einer Liste der beliebtesten Passwörter, um unbekannte Nutzerkonten zu knacken.

Wer sein Passwort nach dem Hackerangriff ändern will, sollte sich also am besten nicht ausschließlich auf die Sicherheitstipps der Plattform verlassen. Auf SPIEGEL-ONLINE-Anfrage hieß es von Ebay, man werde den Hinweis prüfen, ob Passwörter mit unangemessenen Sicherheitsleveln gekennzeichnet werden. Wie man bei Ebay sein Passwort wechselt, erklärt unsere Fotostrecke.

Angeblich 13 Schwachstellen in einer Nacht entdeckt

Doch nicht nur das Passwortsystem bringt Ebay nach dem Hackerangriff erneut in die Schlagzeilen: In den vergangenen Tagen gab es Hinweise auf weitere Sicherheitslücken. Sicherheitsexperte Jordan Jones etwa will allein in einer Nacht 13 Schwachstellen entdeckt haben . In einem Blog zeigt er fingierte Ebay-Angebote, deren Aufruf zur Manipulation des Browsers führt. Die Ebay-Seite erscheint daraufhin verschoben, im Hintergrund ist ein Ziffernblatt zu sehen - eine Sicherheitslücke, die Montagvormittag allerdings gestopft zu sein schien.

Eine weitere Meldung dreht sich um den deutschen Sicherheitsforscher Michael E.. Er will Ebay schon vor zwei Monaten auf eine schwerwiegende Sicherheitslücke hingewiesen haben, sagte er der Tech-Seite "Golem" . Über einen sogenannten Cross-Site-Scripting-Angriff (XSS) konnte E. auf präparierten Ebay-Angeboten eigenen Programmcode unterbringen, um so zum Beispiel fremde Nutzerkonten übernehmen zu können.

Die genannten Sicherheitslücken haben eine gemeinsame Wurzel: Sie nutzen aus, dass Ebay den Kunden die Möglichkeit gibt, aktive Inhalte in ihren Angeboten unterzubringen, also zum Beispiel JavaScript-Programme und Flash. Ebay führt eine schwarze Liste von Programmbausteinen oder Funktionen, die nicht erlaubt sind. So ein Blacklisting-Ansatz wägt zwischen Händler-Komfort und Nutzer-Sicherheit ab, da er nur vor dem Schutz bietet, was bereits bekannt ist.

In einer Stellungnahme schreibt Ebay: "Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren." Ein Zusammenhang zwischen den beschriebenen Sicherheitslücken und dem Hackerangriff besteht laut Ebay nicht.