eBay zieht die Notbremse
Für das Online-Auktionshaus eBay häufen sich derzeit die ernsthaften und für das Unternehmen peinlichen Sicherheitslücken.
Nur eine Woche nachdem eBay offiziell davor gewarnt hat, dass Mitglieder-Accounts zunehmend von Crackern missbraucht werden, musste das Unternehmen jetzt zu einer extrem ungewöhnlichen Maßnahme greifen, um die Sicherheit seiner Kunden zu gewährleisten.
Ab sofort können eBay-Paswörter nicht mehr geändert werden, da diese Funktion ohne besonderen Aufwand dazu missbraucht werden konnte, die Kontrolle über beliebige Accounts zu übernehmen.
Unterdessen arbeitet eBay auch noch daran, eine weitere Sicherheitslücke zu schließen, über die mittels "Dictionary Attacks" Nutzer-Details ausgespäht werden konnten. Hier sind laut eBay "einige hundert" Nutzer betroffen.
eBayIdentitäts-Diebstahl
Für die Übernahme eines Nutzer-Accounts mittels Änderung des Passwortes musste ein Angreifer nichts weiter als die Nutzer-ID in Erfahrung bringen - und diese steht neben jedem Auktionsangebot.
Publiziert wurde die Lücke von einem kanadischen Hacker, der sich "Null" nennt. Laut eBay-Sprecher Kevin Pursglove wusste das Auktionshaus allerdings schon seit Jänner von der gravierenden Sicherheitslücke.
Dass erst jetzt Maßnahmen ergriffen wurden, um die Lücke zu stopfen, ist demnach auf die Publikation durch "Null" zurückzuführen.
Pursglove kündigte an, dass eine neue Log-in-Prozedur inklusive der Möglichkeit, das eigene Passwort wieder sicher zu ändern, in vier bis sechs Wochen zu erwarten sei.
Laut Pursglove standen durch die Lücke im Passwortsystem zwar prinzipiell sämtliche Nutzerdaten offen, dabei wären allerdings Kreditkartendetails ausgenommen, da diese besonders geschützt seien.
eBay unter Druck
Die peinliche Passwort-Lücke kommt für eBay zu einem denkbar ungünstigen Zeitpunkt.
Erst vor einer Woche musste das Unternehmen offiziell davor warnen, dass Mitglieder-Accounts zunehmend von Crackern missbraucht werden. Die Fälle des so genannten "name grabbing" nähmen seit Jänner kontinuierlich zu, sagte Pursglove.
Im Februar hatte dazu noch ein Mitglied der eBay-Community Sammler von Porzellanfiguren um mehrere hunderttausend USD betrogen und damit das System, mit dem Vertrauenspunkte verteilt werden, nach denen die Seriosität von Anbietern in Auktionen überprüft werden kann, in Frage gestellt.
eBay-Kunden in Betrugsgefahr