Skip to main content

EBay Fehler könnte verwendet werden, um Konten zu entführen, Forscher sagt

Ein Sicherheitsforscher, der letzte Woche eine große Sicherheitslücke auf der eBay-Website gefunden hat, sagte, dass ein zweiter Fehler, der gefunden wurde, nicht behoben wurde und dazu verwendet werden könnte, Benutzerkonten zu entführen.

Jordan Lee Jones, ein 19 Einjähriger College-Student, der in Stockton-on-Tees, Großbritannien lebt, sagte, er habe eBay am Freitag per E-Mail über die zweite Schwachstelle informiert. Es war nicht seit Montag festgelegt worden, also entschied er sich, Details auf seinem Blog zu veröffentlichen.

"Ebay sollte auf ihrem Zeug sein", sagte er in einem Sofortnachrichtengespräch am späten Montag. EBay-Beamte konnten aufgrund des langen Feiertagswochenendes in den USA nicht erreicht werden.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Jones und einige andere Sicherheitsforscher haben eBay genauer unter die Lupe genommen Netzwerk, da das Unternehmen am vergangenen Donnerstag eine Datenverletzung bekannt gegeben hat.

Lesen: Wie Sie Ihr eBay-Passwort ändern

Das Unternehmen gab an, Angreifer hätten Ende Februar und Anfang März Anmeldeinformationen für eine kleine Anzahl von Mitarbeitern erhalten. Sie stahlen schließlich Kundennamen, verschlüsselte Passwörter, E-Mail-Adressen, physische Adressen, Telefonnummern und Geburtsdaten.

Seit es den Verstoß bekannt gab, wurde eBay dafür kritisiert, Kunden nicht deutlicher zu warnen und tagelang auf eine Massen-E-Mail-Beratung zu warten Kunden, um ihre Passwörter zu ändern.

Die zweite Schwachstelle, die Jones gefunden hat, ist ein Cross-Site-Scripting-Fehler (XSS), bei dem Code aus einer anderen Quelle innerhalb einer Website ausgeführt wird. Er sagte, der Fehler könnte verwendet werden, um Cookies von eingeloggten eBay-Benutzern zu holen, die eine Seite besuchen, die mit dem Angriffscode infiziert wurde. Das Cookie würde dem Angreifer per E-Mail zugesandt werden, sagte Jones.

Jordan Lee Jones

Der in Großbritannien ansässige Sicherheitsforscher Jordan Lee Jones zeigte, dass eBay anfällig für Cross-Site-Scripting-Attacken ist, die potenziell zur Entführung genutzt werden könnten Benutzerkonten.

Ein Cookie ist eine kleine Datendatei, die in einem Webbrowser gespeichert wird und sich bestimmte Daten merkt, z. B. wenn sich eine Person bereits bei der Website angemeldet hat. Cookies können von einem Webbrowser gelöscht werden oder verfallen, aber wenn ein gültiger Cookie von einem Hacker erhalten wird, könnte er möglicherweise dazu verwendet werden, Zugriff auf das Konto einer Person zu erhalten.

Der XSS-Angriffscode könnte auch in eine Auktionsliste eingefügt werden Seite, sagte Jones, und seine Nutzlast würde beeinflussen, wen auch immer der bestimmte Eintrag besucht.

Jones demonstrierte, wie der XSS-Fehler bei eBay verwendet werden konnte, indem er ein Pop-up mit der Aufschrift "1337" anzeigt, was Hacker-Jargon für "Leet" ist. Abkürzung für "elite".

Wie viele Unternehmen fordert eBay, dass Sicherheitsforscher ihre Ergebnisse öffentlich zurückhalten, bis ein Fehler behoben ist, eine Politik, die als "verantwortliche Offenlegung" bekannt ist. EBays Richtlinien für Forscher warnen: "Wir nehmen die Sicherheit von unsere Kunden sehr ernst, einige Schwachstellen dauern jedoch länger als andere. "

Obwohl Unternehmen Forscher dazu auffordern können, ihre Ergebnisse zu halten, ist es für Forscher nicht illegal, eine Schwachstelle zu offenbaren, und viele tun dies.

Mit freundlicher Genehmigung von Jordan Lee Jones

EBay machte defensive Änderungen an seiner Website, nachdem Jones gezeigt hatte, dass er Shell-Code in sein Netzwerk hochladen konnte.

Die erste Schwachstelle, die Jones fand, erlaubte es ihm, Shellcode in das eBay-Netzwerk zu laden, was ihn hätte verunstalten können Teil der Website oder laden Sie die Backend-Datenbank herunter. EBay ergreift Maßnahmen, um sich gegen die Verwundbarkeit zu wehren.

EBay bedankte sich bei Jones für das Ergebnis und sagte, dass er seinen Namen einer Liste von Sicherheitsforschern hinzufügen würde, die dem Unternehmen nach einer Korrespondenz mit IDG News Service geholfen hätten.