Deutsch | English

CSRF-Sicherheitslücken bei eBay

16. September 2013

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie heute bekannt wurde, gibt es anscheinend ein massives Sicherheitsproblem beim bekannten Internet-Auktions-Anbieter eBay. Entdeckt hat diese Probleme der Security Researcher Paul Moore (siehe http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/).

Auswirkungen

Durch Ausnützen dieser Lücken ist es einem Angreifer möglich, fremde eBay-Accounts zu übernehmen und auch mit diesen auf Artikel zu bieten. Der Angreifer muss dazu lediglich einen Web-Browser, mit dem ein Benutzer in seinem eBay-Account eingeloggt ist, dazu bringen, eine vom Angreifer kontrollierte Webseite zu öffnen. Dies kann in manchen Szenarien auch eine Webseite sein, die der Benutzer bereits vor dem Einloggen in den eBay-Account geöffnet hatte (anderes Tab/Browser-Fenster).

Betroffene Systeme/Benutzer

Alle Benutzer mit eBay-Accounts, die eBay mit Web-Browsern nützen.

Abhilfe

Wir empfehlen Kunden von eBay folgende Maßnahmen bis zur Behebung des ursächlichen Problems:
  • nach dem Benutzen von eBay aktiv ausloggen, nicht nur den Browser/Tab schließen
  • während einer Sitzung bei eBay keine anderen Webseiten offen zu haben und auch keine anderen Webseiten zu öffnen
  • regelmäßig die Daten im eBay-Account zu überprüfen, und das Passwort zu ändern

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blog-Eintrag des Security-Researchers Paul Moore (englisch)
http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/
Artikel bei Softpedia (englisch)
http://news.softpedia.com/news/CSRF-Vulnerability-in-eBay-Allows-Hackers-to-Hijack-User-Accounts-Video-383316.shtml
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/9/16 - 17:26:18
Haftungsausschluss