Thema: eBay diverses ...

[ritschibie]

Das Online-Auktionshaus eBay hat zwei Schwachstellen auf seiner US-Website geschlossen. Bei einer der beiden handelt es sich um eine kritische SQL-Injection-Lücke im Verkäuferbereich, durch die man lesend und schreibend auf eine Datenbank des Unternehmens zugreifen konnte. Durch eine SQL-Injection-Lücke ist das Einschleusen von Datenbankbefehlen über unzureichend gefilterte HTTP-Parameter möglich.

Entdeckt hat die Lücke der Sicherheitsforscher David Vieira-Kurz, der eBay daraufhin vertraulich über das Sicherheitsproblem informierte. Nach Angaben des Forschers reagierte das Unternehmen recht zügig und schloss die Lücke nach 20 Tagen. Ob man durch die Lücke auf die Daten der eBay-Nutzer zugreifen konnte, hat der Forscher nicht ausprobiert, wie er gegenüber heise Security erklärte.

Bei der zweiten Lücke handelte es sich um eine Cross-Site-Scripting-Lücke, durch die die man JavaScript-Code auf dem eBay-Server platzieren konnte, der dann beim Aufruf einer bestimmten URL ausgeführt wurde. Ein Angreifer hätte dies etwa dazu missbrauchen können, um Zugangsdaten von eBay-Nutzern zu stehlen. Die Lücke wurde erstmals vor eineinhalb Wochen öffentlich dokumentiert. Am vergangenen Donnerstag gab das Unternehmen gegenüber The Register an, dass die Schwachstelle behoben sei.

Quelle: www.heise.de

[SiLæncer]

Leser von heise online berichten derzeit bei Bezahlvorgängen auf eBay von Fehlermeldungen ihrer Web-Browser zu ungültigen Zertifikaten. Es stellte sich heraus, dass der Konzern anscheinend verschlafen hat, diese rechtzeitig auszutauschen, so dass die Browser jetzt zu Recht monieren, die Zertifikate der verschlüsselten Seiten seien nicht mehr gültig.

Ein kurzer Check von heise Security bestätigt, dass etwa der Server checkout.payments.ebay.de ein Zertifikat verwendet, das als

Not valid after: Nov  3 23:59:59 2013 GMT

gekennzeichnet und somit seit heute ungültig ist. Der Name des Servers legt nahe, dass er nur ganz am Ende einer Transaktion zum Einsatz kommt, an dem hoffentlich keine wirklich wichtigen Daten mehr übertragen werden. Genaueres wird aber erst eBay sagen können. Die im Zertifikat spezifizierten alternativen Namen wie checkout.payments.ebay.com und checkout.payments.ebay.ch legen nahe, dass das Zertifikat auch in anderen Ländern zum Einsatz kommt. Es steht zu hoffen, dass eBay diesen Fehler baldmöglichst behebt.

Quelle : www.heise.de

[SiLæncer]

Unbekannte haben sich mit erbeuteten Mitarbeiter-Logins Zugriff auf eine Datenbank mit Kundendaten verschafft. Kreditkartendaten sollen nicht betroffen sein.

Nach einem Angriff auf eine Datenbank mit Zugangsdaten fordert eBay seine Nutzer auf, ihr Passwort zu ändern. Unbekannte hätten sich Zugangsdaten von Mitarbeitern verschafft und über das Firmennetz Zugriff auf eine Datenbank mit verschlüsselten Passwörtern und anderen Daten erlangt, teilte das Unternehmen am Mittwoch mit. Kreditkarten oder andere finanzrelevante Daten seien nicht betroffen.

Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt, heißt es weiter. Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten. Kreditkartendaten seien nicht betroffen, diese würden separat und verschlüsselt gespeichert.

Keine Hinweise auf Missbrauch

Aufgefallen sind die Zugriffe mit den entwendeten Mitarbeiterzugängen vor zwei Wochen, teilte eBay weiter mit. Die Untersuchung des Vorfalls habe ergeben, dass die Unbekannten Zugang zu der betroffenen Datenbank erlangt hatten. Bisher gibt es laut eBay keine Hinweise auf unautorisierte Aktivitäten auf Kundenkonten oder Zugriff auf Finanzdaten.

eBay untersucht die Vorfälle weiter in Zusammenarbeit mit den Behörden und Sicherheitsexperten. Im Laufe des Tages wird eBay damit beginnen, seine Kunden per E-Mail zu informieren und sie bitten, ihr Passwort zu ändern. Sollte dieses Passwort auch auf anderen Websites eingesetzt werden, sollte es auch dort erneuert werden.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsprobleme bei eBay nehmen noch kein Ende. Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid. Außerdem hat es damit begonnen, seine Nutzer zum Passwortwechsel zu zwingen.

Der deutsche Sicherheitsforscher Stefan Schurtz hat ausgerechnet im Registrierungsprozess von eBay zwei sogenannte Cross-Site-Scripting-Lücken (XSS) entdeckt, durch die ein Angreifer Javascript-Code in die Site einschleusen kann.

Dieser Code kann etwa das Sitzungs-Cookie angreifen und an einen anderen Server übertragen oder aber auch das Registrierungsformular umleiten. Schurtz gibt an, eBay bereits Ende Januar über das Kontaktformular für Security-Experten auf die Lücken aufmerksam gemacht zu haben.

heise Security konnte beide Lücken nachvollziehen und hat das Online-Auktionshaus kontaktiert. Laut einer ersten Stellungnahme ist dem Unternehmen zumindest einer der beiden Schwachstellen tatsächlich bekannt – man arbeite bereits daran, sie zu beseitigen.

Vorherige Lücke noch nicht geschlossen

In Arbeit ist auch noch eine Lösung für die von Michael Eissele entdeckte Schwachstelle, über die wir Ende vergangener Woche berichteten. Eissele ist es ebenfalls gelungen, JavaScript an eBays Filtermechanismen vorbei zu schleusen. In seinem Fall wird der Code sogar als Teil der Auktionsdaten bei eBay gespeichert (Persistent XSS). eBay erklärte gegenüber heise Security, dass die Lücke noch "in Begriff sei, beseitigt zu werden"

Passwort wechsel Dich

Die XSS-Lücken stehen laut derzeitigem Kenntnisstand in keiner Verbindung mit dem erfolgreichen Hacker-Angriff, bei dem bislang unbekannte Täter auf die Daten aller eBay-Nutzer zugreifen konnten. Das Unternehmen hat nach diesem Vorfall alle 145 Millionen Kunden zum Passwort-Wechsel aufgefordert. Wer das bisher nicht erledigt hat, wird nun gezwungen: Nach und nach werden die eBay-Nutzer nach dem Einloggen dazu aufgefordert, ein neues Passwort zu setzen – sofern nicht bereits geschehen.

Erst danach kann man die registrierungspflichtigen eBay-Dienste wieder wie gewohnt nutzen. Wer einwilligt, dem schickt eBay einen Bestätigungscode per Mail oder SMS. Alternativ kann man sich auch anrufen lassen, woraufhin ein Sprachcomputer den Code vorliest. Der Bestätigungscode ist zwingend notwendig, um die Passwortänderung durchführen zu können. Bei einem Test von heise Security endete der Prozess zwar mit einer Fehlermeldung, das Passwort wurde aber dennoch geändert.

Quelle : www.heise.de

[Micke]

Das wird mir langsam zu doof...