Deutsch | English

CSRF-Sicherheitslücken bei eBay

16. September 2013

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie heute bekannt wurde, gibt es anscheinend ein massives Sicherheitsproblem beim bekannten Internet-Auktions-Anbieter eBay. Entdeckt hat diese Probleme der Security Researcher Paul Moore (siehe http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/).

Auswirkungen

Durch Ausnützen dieser Lücken ist es einem Angreifer möglich, fremde eBay-Accounts zu übernehmen und auch mit diesen auf Artikel zu bieten. Der Angreifer muss dazu lediglich einen Web-Browser, mit dem ein Benutzer in seinem eBay-Account eingeloggt ist, dazu bringen, eine vom Angreifer kontrollierte Webseite zu öffnen. Dies kann in manchen Szenarien auch eine Webseite sein, die der Benutzer bereits vor dem Einloggen in den eBay-Account geöffnet hatte (anderes Tab/Browser-Fenster).

Betroffene Systeme/Benutzer

Alle Benutzer mit eBay-Accounts, die eBay mit Web-Browsern nützen.

Abhilfe

Wir empfehlen Kunden von eBay folgende Maßnahmen bis zur Behebung des ursächlichen Problems:
  • nach dem Benutzen von eBay aktiv ausloggen, nicht nur den Browser/Tab schließen
  • während einer Sitzung bei eBay keine anderen Webseiten offen zu haben und auch keine anderen Webseiten zu öffnen
  • regelmäßig die Daten im eBay-Account zu überprüfen, und das Passwort zu ändern

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blog-Eintrag des Security-Researchers Paul Moore (englisch)
http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/
Artikel bei Softpedia (englisch)
http://news.softpedia.com/news/CSRF-Vulnerability-in-eBay-Allows-Hackers-to-Hijack-User-Accounts-Video-383316.shtml
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/9/16 - 17:26:18
Haftungsausschluss