Angriff auf eBay: Kundendaten entwendet

[DMW007]

​Auf eBay wurden Kundendaten entwendet (Bildquelle: KUsam/Wikipedia, CC)

Nun hat es auch das weltweit größte Internetauktionshaus eBay getroffen: Unbekannte Angreifer haben sich über Konten von Mitarbeitern Zugang zu einer Datenbank verschafft, die Kundendaten enthält. Finanzrelevante Daten wie etwa von Kreditkarten seien nicht betroffen. Die Täter haben aber Zugriff auf persönliche Daten wie Name des Kunden, Postanschrift, seine eMail-Adresse und Telefonnummer sowie das Passwort des eBay-Accounts. Letzteres soll laut eBay verschlüsselt abgespeichert worden sein. Genauere Angaben zur Art und Stärke der Verschlüsselung macht das Unternehmen nicht. Aufgefallen sind die nicht autorisierten Zugriffe über die Mitarbeiter-Accounts bereits vor zwei Wochen.

Hinweise auf eBay-Accounts von Nutzern, welche durch diesen Vorfall missbraucht wurden, gibt es bislang noch keine. Dennoch sollten alle eBay-Nutzer sicherheitshalber ihre Passwörter ändern. Selbstverständlich nicht nur auf eBay, sondern auch auf allen anderen Plattformen, sofern das Passwort des eBay-Accounts nicht einzigartig war. Insbesondere dann, wenn eine eMail-Adresse selbst betroffen ist. Darüber könnte der Angreifer Informationen zu anderen Diensten bei denen der Nutzer angemeldet ist erhalten und dort das Passwort zurücksetzen.

Quelle: heise.de

UPDATE 28.07.2014: Sammelklage gegen eBay

[Bruce Li]

Richtig mies, arbeite selbst bei Ebay im Kundenservice, verflucht sollen diese Hacker sein.

Der größte Dreck seit dem PSN Vorfall !

[Herox]

Ach deswegen bekomme ich aufeinmal soviele E-Mails/Anrufe/Spamms.

Habe mich schon gewundert was wieder los ist...
Naja, kann man nun nichts machen.

[Sky.NET]

Richtig mies, arbeite selbst bei Ebay im Kundenservice, verflucht sollen diese Hacker sein.

Ich sehe da andere Gründe:
Dumme Mitarbeiter (nicht du jetzt!!!)
Unsichere Passwörter der Mitarbeiter (? vielleicht)
Keine Einhaltung der Unternehmenssicherheitsrichtlinien (zu lasche Durchsetzung, zu wenig oder nicht eindringliche Schulung der Mitarbeiter)
Schlechte IT-Sicherheit (? vermutlich)

Ebay ist keine 08/15 Plattform, da versuchen sicher jeden Tag dutzende Blackhats ihr Glück, dessen sollte man sich bewusst sein und das gleich auch über Schulungen und strenge Richtlinien an die Mitarbeiter weitergeben.

[AriZona]

Gibt's Aussicht auf Benachrichtigungen von ebay, ob mal betroffen ist oder nicht?

[Darkfield]

@AriZona

Eine Benachrichtigung habe ich von IEHBÄH nicht erhalten!
Nach dem ich die Nachrichten über den Hack gelesen hatte habe ich mich aber gleich auf gemacht um mein Passwort zu ändern.
Beim Aufruf der Seite prangte aber gleich als Erstes der Warnhinweis, dass man bitte sein PW ändern möge wegen dem Angriff.

[timmy38233]

Oh man, diese Passwort-Leaks häufen sich aber ganz schön in letzter Zeit :-/ (bzw. nicht nur Leaks, auch allgemein die Vorfälle bezügl. Sicherheit, siehe Heartbleed)

[DMW007]

Das bei Sony damals war sowieso noch mal was anderes, da wurden die Passwörter sogar im Klartext gespeichert. Also im Bezug auf Sicherheit so ziemlich alles falsch gemacht, was man falsch machen kann. Auch wenn es fast schon lächerlich ist das hervorzuheben, weil das eigentlich Standard ist, aber: Diesen wirklich extrem dummen Fehler hat eBay wenigstens nicht gemacht. Gegen Social Engineering bzw. korrupte Mitarbeiter scheint eBay aber nicht so besonders gut abgesichert zu sein.

Mittlerweile wird das Neusetzen des Passworts erzwungen. Das ganze funktioniert offensichtlich ebenfalls nicht so wie er soll. Ich habe mein Passwort bereits letzte Woche geändert, und wurde heute erneut dazu aufgefordert:



Nachdem ich das Passwort also nun ein zweites mal geändert hatte, kam der Mist erneut. Bekannterweise erzeugt eBay ja ab und an gerne ähnliche Endlosschleifen (beim Login beispielsweise), die sich durch das Löschen der Cookies und anschließendes Neu-Einloggen beheben lassen. Bringt in dem Fall aber nichts.
Auch ist sich eBay anscheinend nicht einig, ob Paypal nun ebenfalls betroffen ist oder nicht. Auf Paypal wurde zeitweise ebenfalls ein Hinweis eingeblendet, dass die Nutzer ihr Passwort ändern sollen. Offiziell heißt es von eBay aber, Paypal wird getrennt von eBay betrieben, und habe daher nichts mit dem Angriff auf eBay zutun.

[DMW007]

Bei eBay gibt es offensichtlich noch weitere kritische Sicherheitsprobleme, die mit dem unautorisierten Zugriff auf Kundendaten nichts zutun haben: Im Registrierungsprozess wurden zwei XSS-Lücken entdeckt, die es Angreifern ermöglichen, Javascript-Code in die Seite einzuschleusen. Damit wäre es möglich, den Nutzer umzuleiten oder seine Sitzung an einen anderen Server zu übertragen. So könnte ein Angreifer den Account des Opfers nutzen, ohne dessen Passwort zu kennen. Der deutsche Sicherheitsforscher Stefan Schurtz hat beide Lücken entdeckt und eBay bereits Ende Januar darauf hingewiesen. Sicherheit scheint bei eBay also nicht besonders groß geschrieben zu werden, da beide Lücken nach vier Monaten immer noch existieren und ausgenutzt werden können:



Das ist scheinbar noch nicht alles. Auch der Filter-Mechanismus für Javascript in den Angebotsbeschreibungen scheint alles andere als sicher zu sein. Auch hier war es möglich, Javascript-Code einzuschleusen, der eigentlich gefiltert werden sollte. Laut eBay sei die Lücke noch "in Begriff, beseitigt zu werden". eBays Tochtergesellschaft Paypal ist in der Vergangenheit ebenfalls dadurch aufgefallen, sehr träge auf Sicherheitsprobleme zu reagieren und schwere Sicherheitslücken erst Wochen nach Bekanntwerden zu schließen. In Anbetracht dieser Tatsachen könnte man meinen, eBay geht es mehr darum WhatsApp bei der langsamsten Reaktion auf Sicherheitslücken im negativen Sinne zu übertreffen, anstatt dem Paypal-Slogan 'Sicherererer' tatsächlich gerecht zu werden.

Quelle: heise.de

[BlackStone.]

Ich habe nur eine E-Mail bekommen das ich doch mein Passwort ändern sollte.