t3n News Entwicklung

Nach dem eBay-Hack: Schwacher Passwortschutz und weitere Sicherheitslücken endeckt

Nach dem eBay-Hack: Schwacher Passwortschutz und weitere Sicherheitslücken endeckt

Das Online-Marktplatz kommt aus den schlechten Schlagzeilen nicht heraus. Nach dem eBay-Hack wird auf weitere Sicherheitslücken und einem schwachen Passwortschutz im Netz hingewiesen.

Nach dem eBay-Hack: Schwacher Passwortschutz und weitere Sicherheitslücken endeckt

Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)

Ebay weiterhin im Visier von Sicherheitsexperten

Nach dem eBay-Hack. Schwacher Passwortschutz und weitere Sicherheitslücken entdeckt. (Bild: eBay)
Nach dem eBay-Hack. Schwacher Passwortschutz und weitere Sicherheitslücken entdeckt. (Bild: eBay)

Kaum eine Woche, nachdem eBay einräumen musste, dass bis zu 145 Millionen Datensätze einem Hackerangriff zum Opfer gefallen seien, gerät das Online-Marktplatz erneut ins Visier von Sicherheitsexperten. Der Programmierer Jordan Jones etwa will in einer Nacht 13 Schwachstellen entdeckt haben. Unter anderem auf seinem Twitter-Profil zeigt er eBay-Angebote, deren Aufruf zur Manipulation des Browsers führte. Ebay reagierte daraufhin und hat die Sicherheitslücken allem Anschein nach geschlossen.

Eine weitere Meldung des deutschen Sicherheitsforschers Michael E. hingegen schien für eBay weniger interessant zu sein. Der Programmierer hat laut Golem.de bereits vor zwei Monaten auf eine schwerwiegende Sicherheitslücke hingewiesen. Über einen sogenannten Cross-Site-Scripting-Angriff (XSS) konnte er nach eigenen Angaben auf präparierten eBay-Angeboten schadhaften Code unterbringen. Daraufhin wäre es ihm theoretisch möglich gewesen, fremde Nutzerkonten zu übernehmen.

Spiegel Online zu Folge haben die genannten Sicherheitslücken einen gemeinsamen Hintergrund: Das Unternehmen gibt den Kunden die Möglichkeit, aktive Inhalte mithilfe von Javascript und Flash in ihren Angeboten unterzubringen. Ebay führt zwar eine Blacklist von Programmbausteinen, die nicht erlaubt sind. Allerdings wägt der Sicherheitsmechanismus zwischen Komfort und Sicherheit ab und bezieht sich nur auf Probleme, die bereits bekannt sind.

Neues Passwortssystem akzeptiert enorm schwache Passwörter

Zu allem Überfluss ist auch ein Vorwurf gegenüber eBays neuem Passwortsystem durch das Netz gegangen. Wie der TrueCrypt-Sicherheitsexperte Kenn White ebenfalls auf Twitter feststellte, werden notorisch schlechte Passwörter wie „Passwort1“ akzeptiert. Hingegen werden als verstärkt sicher einstufbare Passwörter abgelehnt, da sie zu lang sind. Was woanders als „sicher“ markiert wird, erhält bei eBay den Status „mittel“ – insofern sollten Nutzer die Empfehlungen des Online-Händlers nicht ganz so ernst nehmen.

Einen Grund warum Passwörter, wie das unten abgebildete von eBay nicht unterstützt oder warum sogenannte Wegwerf-Passwörter nicht unterbunden werden, konnte uns die Pressestelle nicht nennen. Auf unsere Anfrage entgegnete eBay: „Der Sicherheitsindikator für Passwörter soll ein hilfreicher Begleiter sein. Die Bewertungen des Kennwortes basiert auf eine von eBay festgelegte Anzahl der Zeichen. Das Passwortsystem darf nicht als eine narrensichere Kontrolle verstanden werden – es dient lediglich als zusätzlicher Schritt, um Kunden über die Sicherheit ihres Passwortes zu informieren.“

Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)
Sichere Passwörter zu lang für eBay? (Screenshot: Kenn White)

Wie ein sicheres Kennwort auszusehen hat und was eher als Wegwerf-Passwort gilt, haben wir bereits in dem Beitrag „Die 25 schlechtesten Passwörter aus 2013 – adobe123, princess und 123456“ aufgeschrieben. Zudem empfehlen wir Nutzern die Zwei-Faktor-Authentifizierung einzusetzen.

Update vom 27. Mai 2014: eBays Stellungnahme zur XSS-Thematik:

Bei der beschriebenen Vulnerabilität handelt es sich nicht um eine neue Form einer Web-Anwendungs-Vulnerabilität auf Webseiten wie eBay. Dies steht in Zusammenhang mit der Tatsache, dass wir Verkäufern erlauben, auf unserer Seite in Artikelbeschreibungen aktive Inhalte wie JavaScript und Flash zu nutzen. Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden. Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen. Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Genau dies tun wir derzeit bezüglich der konkret an uns gemeldeten Vulnerabilitäten.

 

Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren. Wir nehmen jegliche Vulnerabilität, die uns gemeldet wird, sehr ernst. Bei der Auswertung solcher Vulnerabilitäten, analysieren wir diese in Zusammenhang mit unserer gesamten Sicherheits-Infrastruktur. In dem Zusammenhang prüfen wir auch, ob es bereits technische Mechanismen gibt, die Schutz gegen diese Vulnerabilität bieten. Wir passen unsere Sicherheitssysteme an, sobald wir von neuen Arten von bösartigem Code erfahren.

via www.t-online.de

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
9 Antworten
  1. von Oliver am 27.05.2014 (11:56 Uhr)

    Möglicherweise erkennt ebay das Passwort nicht als sicher genug an, weil es sich nur um Kleinbuchstaben oder Zahlen handelt. Der Algorithmus prüft wohl auch auf Großbuchstaben und Sonderzeichen. Das Problem haben übrigens viele Seiten, die die Passwortstärke prüfen. Das ging mir auch schon mit Passwörtern wie v5hf3lj!vp%vv"opf5$asd so.

    Antworten Teilen
  2. von reraiseace am 27.05.2014 (12:29 Uhr)

    Na fein. Was hab ich erst gestern geschrieben: "Das Datenleck ist erst die Spitze des Eisbergs!" Damit soll ich wohl recht behalten....

    Antworten Teilen
  3. von Ebay oder Amazon am 27.05.2014 (13:19 Uhr)

    Produktbeschreibungen sind Teil des Kaufvertrages. Schwarzweiss finde ich dafür deutlich besser als bunt-bunt-blink-blink.

    Ohne 20-Euro-Grenze würde ich mehr bei Amazon bzw. Marketplace bestellen. Für Einzelbestellungen bleibt aber wohl praktisch nur Ebay.

    Antworten Teilen
  4. von Peter am 27.05.2014 (18:18 Uhr)

    Der Witz ist doch, dass ebay gar keine sicheren Passwörter zu lässt.
    Als ich meines geändert habe wurde verlangt dass ich mich beim Passwort auf 20 Zeichen beschränke...
    Das finde ich schon sehr schwach dass die großen unternehmen die Passwortlänge begrenzen. Bei Outlook ist es das selbe....

    Antworten Teilen
  5. von Insomnia am 28.05.2014 (19:32 Uhr)

    Peter, du willst mir also verklickern, dass ein Passwort mit 20 Zeichen nicht sicher ist - also z.B. "gkaFo@#J$3WdbeA%f13&" nicht sicher ist? Ich glaube schon... Da reichen sogar noch weniger.

    Antworten Teilen
  6. von peter am 30.05.2014 (10:06 Uhr)

    @Insomnia
    Was momentan sicher ist und was nicht, darüber will ich mal kein Urteil abgeben.
    Mathematisch gesehen ist aber ein Passwort mit 30, 40, oder 60 Zeichen bestimmt sicherer als eins mit 20. Da ich eh Keepass für meine Passwörter verwende, nehme ich halt leiber ein paar Stellen zu viel, als ein paar zu wenige ;)

    Verschwörungstheorie an: "Und eben da macht es mich halt stutzig, dass man bei vielen kleinen Seiten so viele Zeichen wie man will nehmen kann und grade bei den großen die Passwortlänge begrenzt ist." Verschwörungstheorie aus

    Antworten Teilen
  7. von herr.meyer am 30.05.2014 (12:48 Uhr)

    Naja, ich weiß ja nicht, ob man gleich überall eine Verschwörung sehen muss. Mir kommt nur bei "max. 20 Zeichen" gleich wieder der Gedanke, dass dieses Passwort dann irgendwo im Klartext abgespeichert wird und eben genau 20 Zeichen für das Passwort reserviert wurden.

    Ebenfalls unheimlich lästig finde ich zudem die bislang nicht angesprochene Tatsache, dass man die Passwörter inzwischen auch bei eBay von Hand eingeben muss, weil die Copy&Paste Funktion bewusst unterdrückt wird (so wie das auf der PayPal Seite schon vor einiger Zeit gemacht wurde). Was das bringen soll, kann ich nicht sagen. Es erschwert aus meiner Sicht lediglich das einfügen automatisch generierter komplexer Passwörter aus einem Passwortmanager.

    Antworten Teilen
  8. von Insomnia am 30.05.2014 (14:58 Uhr)

    Also mein Passwort-Manager greift trotzdem bei PayPal und ebay und ich muss nix von Hand eingeben.

    Antworten Teilen
  9. von herr.meyer am 30.05.2014 (16:03 Uhr)

    @Insomnia:
    Das war dann wahrscheinlich ein wenig undeutlich von mir formuliert... Beim normalen Login geht das Autofill via Passwortmanager (noch), auch das Pasten des Passworts geht beim Login.

    Jedoch ist das Copy&Paste beim setzen eines neuen Passworts unterbunden worden.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema eBay
Pokémon Go: Stecken Hacker hinter den Serverproblemen?
Pokémon Go: Stecken Hacker hinter den Serverproblemen?

Am Samstags klagten Spieler aus ganz Europa und den USA über Serverprobleme beim Smartphone-Spiel Pokémon Go. Eine Hackergruppe will verantwortlich sein. » weiterlesen

Ebay nimmt den nächsten Evolutionsschritt: Gemeinsamer Produktkatalog wird eingeführt
Ebay nimmt den nächsten Evolutionsschritt: Gemeinsamer Produktkatalog wird eingeführt

Ebay plant einen umfangreichen Umbau der eigenen Handelsplattform. Identische Angebote sollen ähnlich wie bei Amazon in einen umfassenden Produktkatalog integriert werden. » weiterlesen

Angriff auf Amazon: Warum Ebay ein Startup namens Salespredict kauft
Angriff auf Amazon: Warum Ebay ein Startup namens Salespredict kauft

Mit der Übernahme des Startups Salespredict will Ebay die auf der Plattform angebotenen Produkte endlich besser verstehen. Davon sollen Käufer und Verkäufer profitieren. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?