Programmierfehler lockt eBay-Betrüger
Schlampige Software im Internetauktionshaus
eBay soll sicherer werden, versprach das Unternehmen im April und führte ein neues Sicherheitssystem ein. Ein Programmierfehler bewirkt nun das Gegenteil: Internetbetrüger haben wegen schlampig produzierter Software bei eBay leichtes Spiel.
Das Internetauktionshaus eBay steht bei Betrügern hoch im Kurs. Sie locken eBay-Mitglieder auf gefälschte Webseiten, um Zugangsdaten abzufischen. Mit den gestohlenen Daten loggen sie sich anschließend bei eBay ein und bieten unter fremdem Namen Waren an. Bei eBay gilt Vorkasse. Die Betrüger kassieren das Geld und verschwinden auf Nimmerwiedersehen. Die Ware wird natürlich nie geliefert.
Mit Cookies gegen Vorkassenbetrug
Um solche Betrügereien künftig zu verhindern, hat sich eBay ein besonderes System erdacht. Ab Mitte des Jahres gilt: eBay-Kunden, die nicht von ihrem angestammten Computer aus Waren zum Verkauf anbieten, müssen sich gesondert authentifizieren. Sie werden von eBay automatisch auf einer Nummer angerufen, die sie bei eBay hinterlegen müssen. "Mit diesem Anruf stellen wir sicher, dass der Verkauf tatsächlich vom rechtmäßigen Inhaber des eBay-Mitgliedskontos veranlasst wird", heißt es bei eBay.
Damit die eBay-Software erkennen kann, welcher Computer beim Einstellen von Angeboten benutzt wird, markiert eBay die Rechner seiner Kunden bereits seit Ende April mit einem sogenannten Flash-Cookie. Das ist eine kleine Textdatei mit einer eindeutigen Kennung, die auf dem PC des Nutzers abgespeichert wird. Stellt der eBay-Kunde Waren ein, sucht die eBay-Software auf seinem PC automatisch nach dem Cookie.
Anders als gewöhnliche Cookies unterliegen Flash-Cookies nicht der Cookie-Verwaltung des Browsers. Sie werden über den Flash-Player erzeugt und können auf normalem Wege nicht gelöscht werden. Zudem ist normalerweise sichergestellt, dass diese Cookies nur von der Webdomain ausgelesen werden können, die die kleine Textdatei auf dem Computer abgespeichert hat.
Kluge Idee schlampig umgesetzt
Eine kluge Idee, könnte man meinen. Identitätsdiebe können sich zwar die Zugangsdaten eines Kunden erschleichen, könnten damit aber nichts mehr anfangen. Sie benutzen einen Rechner, dem das Identifizierungs-Cookie fehlt. Bieten sie trotzdem Waren an, setzt sich die eBay-Software mit dem wirklichen Kunden in Verbindung. Der wird gewarnt und kann sein eBay-Konto auf der Stelle sperren lassen.
Die Theorie klingt klug - die eBay-Praxis reichlich schlampig. Das jedenfalls behauptet Falle-Internet, eine private Sicherheitsinitiative, die es sich zum Ziel gesetzt hat, Internetkriminellen das Handwerk zu legen und Surfer über Netzgefahren aufzuklären. Falle-Internet hat nämlich einen Programmierfehler in eben jenem Flash-Objekt namens "krb.swf" entdeckt, das eBay zum Ausliefern und Abfragen seiner Cookies benutzt.
"Eigentlich dürften ausschließlich eBay-eigene Seiten und Skripte Zugriff auf die darin enthaltene Funktion zum Auslesen eines Flash-Cookies haben", erklärt Falle-Internet. "Eine falsch implementierte Abfrage ermöglicht es aber nahezu jeder Webseite, eBays eigene Software zum 'Cookieklau' zu verwenden." Einzige Bedingung sei: "Die Adresse der Seite muss - ganz ähnlich wie eBays Login-Seite - mit 'signin' beginnen."
...
Quelle heute