Peinliche Panne für Eb*y – Sicherheitsloch oder Phish*ng-Attacke?
Ebay hat ein Sicherheitsproblem. Es ist einem Anwender gelungen, über einen gekaperten Mitarbeiter-Account im Ebay-Forum Postings zu veröffentlichen. Ob der Hacker, wie er behauptet, auch die Ebay-Konten anderer User sehen kann, ist unklar. Peinlich ist der Vorfall für das Online-Auktionshaus dennoch.
Ebay-Account: Feindliche Übernahme
Eine mutmaßliche Sicherheitslücke bei Ebay sorgte gestern für rege Diskussion in den Ebay-Foren. Im Sicherheitsforum brüstete sich ein Ebay-Anwender namens rflello@ebay.com alias Vladuz damit, dass er an die Daten anderer Anwender kommt. Dies sei mit Hilfe eines einfachen Hacks und unter Zuhilfenahme eines VPN Client, dem Ebay CS Investigator sowie einem Account-Übernahme-Tool namens Ahab möglich.
Der Hacker nannte einige Daten aus offenbar fremden Ebay-Accounts und postete einige Screenshots als Beweis. Auf die Nachfragen mehrerer Anwender, ob er aus ihren Konten bestimmte Informationen auslesen könne, ging der Hacker allerdings nicht ein. Einige inzwischen gelöschten Postings zeigten tatsächlich Kontoansichten, die man normalerweise nicht zu sehen bekommt. Ob es sich dabei um einen Fake handelt, ist unklar.
Dem Anwender gelang es auf jeden Fall, innerhalb des Threads als Pinkliner zu posten. Auch diese Postings wurden durch Ebay enfernt - allerdings erst mehrere Stunden später. Die Farbe Pink ist in den Foren nur den Ebay-Mitarbeitern vorbehalten (sogenannte Pinkliner). Erst im Laufe des gestrigen Abends wurde das Konto durch Ebay gesperrt. Ob es sich bei dem Anwender um einen gefrusteten (ehemaligen?) Ebay-Mitarbeiter handelte oder tatsächlich um einen Hacker, ist unklar – für Ebay wäre beides gleichermaßen unangenehm.
Das Online-Auktionshaus erklärte auf Nachfragte durch PC-WELT, es handelte sich tatsächlich um ein Administratorenkonto eines amerikanischen Ebay-Mitarbeiters. Die Hacker haben sich offenbar per Phishing die Kontozugangsdaten besorgt. Das Konto, so die Ebay-Pressestelle, sei aber ein Käufer- und Verkäuferkonto, das mit Ausnahme der Pinkliner-Fähigkeit in den Foren über keine zusätzlichen Fähigkeiten verfüge. „Es ist technisch unmöglich, dass man darüber irgendwelche Zusatzinformationen über andere Ebayer bekommt, die nicht auch über jedes andere Konto zugänglich werden“, so ein Unternehmenssprecher.
Lange Reaktionszeit des Sicherheits-Teams
Über die Art und Weise, wie sich Administratoren von außen ins Ebay-System einloggen, machte der Pressesprecher keine Angaben. Es ist aber davon auszugehen, dass es sich um eine kombinierte VPN- und Session-ID-Lösung handelt, bei der für jeden Login eine Autorisierung von System eingeholt wird, bevor der Anwender auf den Server darf.
Gleichwohl ist der Fall für Ebay sehr peinlich. Er zeigt zum einen, dass es mit vertretbarem Aufwand möglich ist, sich halbwegs glaubwürdig als Ebay-Mitarbeiter auszugeben. Die Ebay-Sicherheit brauchte immerhin von etwa 14 Uhr als das erste Posting kam, bis nach 21 Uhr, um den Account zu sperren. Zum anderen wird das Online-Auktionshaus auch darüber nachdenken müssen, wie man mit Anwendern umgeht, wenn diese mit Hilfe von Phishing-Attacken ausspioniert wurden. Die Haltung, die Verantwortung nur beim Anwender zu suchen, dürfte nach einem solchen Vorfall nicht mehr durchzuhalten sein.
Interessantes Detail am Rande: Ebay hat nicht nur den Thread zensiert und einige Postings des Threads gelöscht (mindestens neun), sondern offenbar auch mindestens einen kritischen Diskussionsteilnehmer verwarnt. Ihm wird vorgeworfen, die Richtlinien zur Nutzung der Ebay-Foren und -Cafés verletzt zu haben.
Quelle:
http://www.pcwelt.de/news/sicherheit/70331/index.html
