5576

Die Lücke lässt sich vielfältig nutzen

16.03.2004 | 10:10 Uhr |

Da Abzocker auf dem eigenen Server anstellen können, was sie wollen, lässt sich die Sicherheits-Lücke auf viele Arten nutzen. Folgendes Szenario ist beispielsweise denkbar: Das Opfer sieht eine Login-Seite, die genauso aussieht wie der Original-Ebay-Login. Gibt der Getäuschte dort seinen Login-Namen und sein Passwort ein, landen die Daten auf dem Server des Abzockers. Diese Daten genügen, um bei Ebay sämtliche persönlichen Daten einzusehen und abzuändern, darunter Mail-Adresse, Bankkonto, beobachtete Artikel, Höchstgeboteinstellungen usw.. Außerdem können Abzocker damit Artikel kaufen und verkaufen. Auch das Umlenken auf eine Dialer-Seite ist denkbar.

Die "Bieten"-Schaltfläche lässt sich durch ein vierzeiliges Javascript-Programm umbiegen. Angreifer kopieren es an das Ende der Artikel-Beschreibung.

Diese Abzock-Szenarien sind allerdings nur die Spitze des Eisbergs. Denn viele Anwender benutzen dasselbe Passwort für mehrere Sites. Das Ebay-Passwort ist etwa bei manchen auch der GMX-Login. So lassen sich die Opfer noch auf weitere Arten schädigen - und sei es nur, dass Fremde die Mails mitlesen.

PC-WELT Marktplatz

5576