113172

Peinliche Panne für Ebay – Sicherheitsloch oder Phishing-Attacke?

30.01.2007 | 17:57 Uhr |

Ebay hat ein Sicherheitsproblem. Es ist einem Anwender gelungen, über einen gekaperten Mitarbeiter-Account im Ebay-Forum Postings zu veröffentlichen. Ob der Hacker, wie er behauptet, auch die Ebay-Konten anderer User sehen kann, ist unklar. Peinlich ist der Vorfall für das Online-Auktionshaus dennoch.

Eine mutmaßliche Sicherheitslücke bei Ebay sorgte gestern für rege Diskussion in den Ebay-Foren. Im Sicherheitsforum brüstete sich ein Ebay-Anwender namens rflello@ebay.com alias Vladuz damit, dass er an die Daten anderer Anwender kommt. Dies sei mit Hilfe eines einfachen Hacks und unter Zuhilfenahme eines VPN Client, dem Ebay CS Investigator sowie einem Account-Übernahme-Tool namens Ahab möglich.

Der Hacker nannte einige Daten aus offenbar fremden Ebay-Accounts und postete einige Screenshots als Beweis. Auf die Nachfragen mehrerer Anwender, ob er aus ihren Konten bestimmte Informationen auslesen könne, ging der Hacker allerdings nicht ein. Einige inzwischen gelöschten Postings zeigten tatsächlich Kontoansichten, die man normalerweise nicht zu sehen bekommt. Ob es sich dabei um einen Fake handelt, ist unklar.

Dem Anwender gelang es auf jeden Fall, innerhalb des Threads als Pinkliner zu posten. Auch diese Postings wurden durch Ebay enfernt - allerdings erst mehrere Stunden später. Die Farbe Pink ist in den Foren nur den Ebay-Mitarbeitern vorbehalten (sogenannte Pinkliner). Erst im Laufe des gestrigen Abends wurde das Konto durch Ebay gesperrt. Ob es sich bei dem Anwender um einen gefrusteten (ehemaligen?) Ebay-Mitarbeiter handelte oder tatsächlich um einen Hacker, ist unklar – für Ebay wäre beides gleichermaßen unangenehm.

Das Online-Auktionshaus erklärte auf Nachfragte durch PC-WELT, es handelte sich tatsächlich um ein Administratorenkonto eines amerikanischen Ebay-Mitarbeiters. Die Hacker haben sich offenbar per Phishing die Kontozugangsdaten besorgt. Das Konto, so die Ebay-Pressestelle, sei aber ein Käufer- und Verkäuferkonto, das mit Ausnahme der Pinkliner-Fähigkeit in den Foren über keine zusätzlichen Fähigkeiten verfüge. „Es ist technisch unmöglich, dass man darüber irgendwelche Zusatzinformationen über andere Ebayer bekommt, die nicht auch über jedes andere Konto zugänglich werden“, so ein Unternehmenssprecher.

0 Kommentare zu diesem Artikel
113172