eBay: Nach Passwort-Klau nun weitere Sicherheitslücke

eBay kommt nicht aus den Schlagzeilen – erst die Aufforderung an 145 Millionen eBay-Nutzer, die Kennwörter zu sichern. Nun gibt es Informationen, dass eine weitere Sicherheitslücke existiert, die zum Verbreiten von Malware bei eBay-Sessions genutzt werden kann.


Anzeige

Über die Passwort-Geschichte hatte ich diese Woche im Beitrag Leute, ändert euer eBay Kennwort berichtet. Was mich ärgert: Obwohl eBay die E-Mai-Adressen der Nutzer kennt, müssen die aus der Presse bzw. dem Web erfahren, dass man die Nutzerdaten samt Kennwörtern wohl entwendet hat. Und Details, ob und wie die Kennwörter verschlüsselt waren, sucht man vergebens (siehe auch diesen Golem.de-Artikel). 

Jetzt kommt heise.de in diesem Artikel mit einer Information zu einer weiteren Sicherheitslücke bei eBay. Angreifer können in Auktionen Skripte einschleusen, die Session-Cookies auslesen oder auch Malware verbreiten. Möglich ist dies durch eine Sicherheitslücke, die die Injektion von beliebigen JavaScript-Code in Auktionen ermöglicht. Die persistente Cross-Site-Scripting (XSS)-Lücke wurde von Michael Eissele entdeckt. Dieser hat eBay (laut heise.de) bereits vor zwei Monaten informiert – passiert ist wohl nichts. Laut heise.de stuft eBay das Ganze als "vertretbares Risiko" ein. Zeit, das eBay-Konto zu löschen? Wie seht ihr das?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu eBay: Nach Passwort-Klau nun weitere Sicherheitslücke

  1. Thomas Bauer sagt:

    In letzter Zeit ereignen sich gehäuft Datendiebstähle bei vielen, teils bekannten Firmen. Der Otto Normalverbraucher informiert sich doch gar nicht täglich wo er heute mal wieder ein Passwort ändern darf. Die Firmen sollten allgemein mehr in die Sicherheit der Kundendaten investieren und nicht darauf vertrauen das alle ihre Kunden Vollzeit Computerjunkies sind . Bei manchen Anbietern hat man auch keine Option sein Account zu löschen. Es ist auch erschreckend wie viele kleine Firmen einfach wieder verschwinden und dann stellt sich die Frage…Was ist mit meinen Daten passiert? Besonders sicher fühle ich mich derzeit nicht.

  2. Günter Born sagt:

    Nachtrag: Zwischenzeitlich gibt es bei heise.de in diesem Artikel die Info, dass die Kennwörter wohl verschlüsselt sind.

  3. Marc sagt:

    @Bauer
    den Unternehmen die Selbstverantwortung zu übertragen, scheint ja nicht zu funktionieren.
    Die Frage ist daher, ob solche "Lecks" nicht über die Datenschützer des Bundes/Länder mit Nachdruck nachgegangen und Strafen (je nach Unternehmensgröße, Kundenbestand und Risiko) verhängt werden sollten.

    Auf der anderen Seite hat der Staat es ja auch nicht geschafft, den nPA richtig im Markt aufzustellen, denn sodann könnte man keine Passwörter usw. klauen.

    @Günter
    selbst wenn wir ständig Kunden-Accounts löschen würden, um die Bigplayer kommt man nicht rum bzw. der Endverbraucher will einfach nicht auf ebay usw. verzichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.