Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Entwicklung & Design

Nach dem eBay-Hack: Schwacher Passwortschutz und weitere Sicherheitslücken endeckt

    Nach dem eBay-Hack: Schwacher Passwortschutz und weitere Sicherheitslücken endeckt

Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)

Das Online-Marktplatz eBay kommt aus den schlechten Schlagzeilen nicht heraus. Nach dem eBay-Hack wird auf weitere Sicherheitslücken und einem schwachen Passwortschutz im Netz hingewiesen.

Ebay weiterhin im Visier von Sicherheitsexperten

Nach dem eBay-Hack. Schwacher Passwortschutz und weitere Sicherheitslücken entdeckt. (Bild: eBay)
Nach dem eBay-Hack. Schwacher Passwortschutz und weitere Sicherheitslücken entdeckt. (Bild: eBay)

Kaum eine Woche, nachdem eBay einräumen musste, dass bis zu 145 Millionen Datensätze einem Hackerangriff zum Opfer gefallen seien, gerät das Online-Marktplatz erneut ins Visier von Sicherheitsexperten. Der Programmierer Jordan Jones etwa will in einer Nacht 13 Schwachstellen entdeckt haben. Unter anderem auf seinem Twitter-Profil zeigt er eBay-Angebote, deren Aufruf zur Manipulation des Browsers führte. Ebay reagierte daraufhin und hat die Sicherheitslücken allem Anschein nach geschlossen.

Eine weitere Meldung des deutschen Sicherheitsforschers Michael E. hingegen schien für eBay weniger interessant zu sein. Der Programmierer hat laut Golem.de bereits vor zwei Monaten auf eine schwerwiegende Sicherheitslücke hingewiesen. Über einen sogenannten Cross-Site-Scripting-Angriff (XSS) konnte er nach eigenen Angaben auf präparierten eBay-Angeboten schadhaften Code unterbringen. Daraufhin wäre es ihm theoretisch möglich gewesen, fremde Nutzerkonten zu übernehmen.

Spiegel Online zu Folge haben die genannten Sicherheitslücken einen gemeinsamen Hintergrund: Das Unternehmen gibt den Kunden die Möglichkeit, aktive Inhalte mithilfe von Javascript und Flash in ihren Angeboten unterzubringen. Ebay führt zwar eine Blacklist von Programmbausteinen, die nicht erlaubt sind. Allerdings wägt der Sicherheitsmechanismus zwischen Komfort und Sicherheit ab und bezieht sich nur auf Probleme, die bereits bekannt sind.

Neues Passwortssystem akzeptiert enorm schwache Passwörter

Zu allem Überfluss ist auch ein Vorwurf gegenüber eBays neuem Passwortsystem durch das Netz gegangen. Wie der TrueCrypt-Sicherheitsexperte Kenn White ebenfalls auf Twitter feststellte, werden notorisch schlechte Passwörter wie „Passwort1“ akzeptiert. Hingegen werden als verstärkt sicher einstufbare Passwörter abgelehnt, da sie zu lang sind. Was woanders als „sicher“ markiert wird, erhält bei eBay den Status „mittel“ – insofern sollten Nutzer die Empfehlungen des Online-Händlers nicht ganz so ernst nehmen.

Einen Grund warum Passwörter, wie das unten abgebildete von eBay nicht unterstützt oder warum sogenannte Wegwerf-Passwörter nicht unterbunden werden, konnte uns die Pressestelle nicht nennen. Auf unsere Anfrage entgegnete eBay: „Der Sicherheitsindikator für Passwörter soll ein hilfreicher Begleiter sein. Die Bewertungen des Kennwortes basiert auf eine von eBay festgelegte Anzahl der Zeichen. Das Passwortsystem darf nicht als eine narrensichere Kontrolle verstanden werden – es dient lediglich als zusätzlicher Schritt, um Kunden über die Sicherheit ihres Passwortes zu informieren.“

Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)
Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)

Wie ein sicheres Kennwort auszusehen hat und was eher als Wegwerf-Passwort gilt, haben wir bereits in dem Beitrag „Die 25 schlechtesten Passwörter aus 2013 – adobe123, princess und 123456“ aufgeschrieben. Zudem empfehlen wir Nutzern die Zwei-Faktor-Authentifizierung einzusetzen.

Update vom 27. Mai 2014: eBays Stellungnahme zur XSS-Thematik:

Bei der beschriebenen Vulnerabilität handelt es sich nicht um eine neue Form einer Web-Anwendungs-Vulnerabilität auf Webseiten wie eBay. Dies steht in Zusammenhang mit der Tatsache, dass wir Verkäufern erlauben, auf unserer Seite in Artikelbeschreibungen aktive Inhalte wie JavaScript und Flash zu nutzen. Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden. Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen. Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Genau dies tun wir derzeit bezüglich der konkret an uns gemeldeten Vulnerabilitäten.

 

Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren. Wir nehmen jegliche Vulnerabilität, die uns gemeldet wird, sehr ernst. Bei der Auswertung solcher Vulnerabilitäten, analysieren wir diese in Zusammenhang mit unserer gesamten Sicherheits-Infrastruktur. In dem Zusammenhang prüfen wir auch, ob es bereits technische Mechanismen gibt, die Schutz gegen diese Vulnerabilität bieten. Wir passen unsere Sicherheitssysteme an, sobald wir von neuen Arten von bösartigem Code erfahren.

via www.t-online.de

9 Reaktionen
herr.meyer
herr.meyer

@Insomnia:
Das war dann wahrscheinlich ein wenig undeutlich von mir formuliert... Beim normalen Login geht das Autofill via Passwortmanager (noch), auch das Pasten des Passworts geht beim Login.

Jedoch ist das Copy&Paste beim setzen eines neuen Passworts unterbunden worden.

Antworten
Insomnia
Insomnia

Also mein Passwort-Manager greift trotzdem bei PayPal und ebay und ich muss nix von Hand eingeben.

Antworten
herr.meyer
herr.meyer

Naja, ich weiß ja nicht, ob man gleich überall eine Verschwörung sehen muss. Mir kommt nur bei "max. 20 Zeichen" gleich wieder der Gedanke, dass dieses Passwort dann irgendwo im Klartext abgespeichert wird und eben genau 20 Zeichen für das Passwort reserviert wurden.

Ebenfalls unheimlich lästig finde ich zudem die bislang nicht angesprochene Tatsache, dass man die Passwörter inzwischen auch bei eBay von Hand eingeben muss, weil die Copy&Paste Funktion bewusst unterdrückt wird (so wie das auf der PayPal Seite schon vor einiger Zeit gemacht wurde). Was das bringen soll, kann ich nicht sagen. Es erschwert aus meiner Sicht lediglich das einfügen automatisch generierter komplexer Passwörter aus einem Passwortmanager.

Antworten
peter
peter

@Insomnia
Was momentan sicher ist und was nicht, darüber will ich mal kein Urteil abgeben.
Mathematisch gesehen ist aber ein Passwort mit 30, 40, oder 60 Zeichen bestimmt sicherer als eins mit 20. Da ich eh Keepass für meine Passwörter verwende, nehme ich halt leiber ein paar Stellen zu viel, als ein paar zu wenige ;)

Verschwörungstheorie an: "Und eben da macht es mich halt stutzig, dass man bei vielen kleinen Seiten so viele Zeichen wie man will nehmen kann und grade bei den großen die Passwortlänge begrenzt ist." Verschwörungstheorie aus

Antworten
Insomnia
Insomnia

Peter, du willst mir also verklickern, dass ein Passwort mit 20 Zeichen nicht sicher ist - also z.B. "gkaFo@#J$3WdbeA%f13&" nicht sicher ist? Ich glaube schon... Da reichen sogar noch weniger.

Antworten
Peter
Peter

Der Witz ist doch, dass ebay gar keine sicheren Passwörter zu lässt.
Als ich meines geändert habe wurde verlangt dass ich mich beim Passwort auf 20 Zeichen beschränke...
Das finde ich schon sehr schwach dass die großen unternehmen die Passwortlänge begrenzen. Bei Outlook ist es das selbe....

Antworten
Ebay oder Amazon
Ebay oder Amazon

Produktbeschreibungen sind Teil des Kaufvertrages. Schwarzweiss finde ich dafür deutlich besser als bunt-bunt-blink-blink.

Ohne 20-Euro-Grenze würde ich mehr bei Amazon bzw. Marketplace bestellen. Für Einzelbestellungen bleibt aber wohl praktisch nur Ebay.

Antworten
reraiseace

Na fein. Was hab ich erst gestern geschrieben: "Das Datenleck ist erst die Spitze des Eisbergs!" Damit soll ich wohl recht behalten....

Antworten
Oliver

Möglicherweise erkennt ebay das Passwort nicht als sicher genug an, weil es sich nur um Kleinbuchstaben oder Zahlen handelt. Der Algorithmus prüft wohl auch auf Großbuchstaben und Sonderzeichen. Das Problem haben übrigens viele Seiten, die die Passwortstärke prüfen. Das ging mir auch schon mit Passwörtern wie v5hf3lj!vp%vv"opf5$asd so.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen