ComputerBase Menü
Aktuelles

Ebay-Sicherheitslücke

X23^Piracy

X23^Piracy

Lt. Commander
Registriert
Juni 2001
Beiträge
1.211
Hallo, ich habe vor einigen Tagen durch Zufall eine Sicherheitslücke in der Angebotserstellung bei Ebay gefunden damit ist es möglich alles was von Ebay an Tags gesperrt ist trotzdem in eine Auktion zu stellen.

Unter anderem Meta Tags, PHP includes, Java Applett usw.


Ich habe Ebay daraufhin Informieren wollen und habe denen eine Email geschickt ohne eine Beschreibung der Sicherheitslücke nur dem was damit Möglich ist um Ebay mal dazu zu zwingen mich anzurufen ;).

Die antwort war auf meine Mail war blos, das man meine Anfrage nicht verstehen würde, allerdings war es eigentlich recht eindeutig formuliert.

Mal als Beispiel, die Nutzung eines iframes macht es prinzipiell möglich, den kompletten Auktionsinhalt nach Ablauf der Auktion zu ändern, allein das finde ich schon ziemlich krass. Auf diesem Weg könnte A.löcher ;) Defekte Ware als Neuware verkaufen ohne das sich der Käufer wehren könnte.


Ebay scheint das nicht sonderlich zu Interessieren oder die kennen das schon.


Wie denkt ihr darüber ?



MfG X23 :D


*****************************************

KLeiner Tipp immer prüfen ob Bild und Text Inhalte einer Ebay Auktion auch auf Ebay Servern liegen, rechtsklick, eigenschaften auf das obejkt im Browser Fenster und die URL prüfen.

Klar liegen teilweise Bilder auf Servern von Ebay usern, dass ist auch okay aber nur dann wenn die Bilder keine Text enthalten, der im direkten Zusammenhang mit der Produktbeschreibung steht.

MfG X23
 
Zuletzt bearbeitet:
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Hier ist die Email die ich geschrieben hatte:

Sehr geehrtes eBay-Mitglied!

Wir stehen unseren Mitgliedern gerne mit Rat und Tat zur Seite.

Da wir Ihre Anfrage nicht nachvollziehen koennen, bitten wir Sie, diese
zu konkretisieren.

Sobald wir von Ihnen naehere Informationen erhalten haben, werden wir
den Sachverhalt pruefen und uns schnellstmoeglich mit Ihnen in
Verbindung setzen.

Wir danken Ihnen fuer Ihre Unterstuetzung in dieser Angelegenheit.

Mit freundlichen Gruessen

Barbara Graf
eBay - Sicherheit

eBay - Der weltweite Online-Marktplatz!
**********************************************************
Wichtiger Hinweis: eBay wird Sie unaufgefordert niemals nach
persoenlichen Angaben (wie z.B. Passwort, Kreditkarten oder
Bank-Informationen) fragen.
********************************************************
Bitte beachten Sie auch unsere Hilfeseiten:
http://pages.ebay.de/help/index.html

Fuer den schnellen Kontakt nutzen Sie bitte unser Kontaktformular:
http://pages.ebay.de/kontakt
Waehlen Sie dabei bitte unbedingt den fuer Ihr Anliegen passenden
Betreff, da Sie sonst laenger als noetig auf eine Antwort warten
muessten

Für viele Themen bieten wir zusätzlich Telefon-Support an:
http://pages.ebay.de/telefon
********************************************************

16/4/04



Original Message Follows:
-------------------------

Formular-Mittteilung %43232% 122800
Betreff: GS=C00167 Andere Probleme mit dem Schutz von Mitgliedsdaten
[?01]

Vom Mitglied angegebener Mitgliedsname:
Mitgliedsbewertung: 30
Mitgliedsstatus: ?01

Informationen zum Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.1; .NET CLR 1.1.4322)

Mitteilung über ein Problem mit dem Schutz von Mitgliedsdaten > Schutz
Ihrer Mitgliedsdaten > Andere Probleme mit dem Schutz von Mitgliedsdaten

Nachricht: Ich möchte auf eine gravierende Sicherheitslücke in eurer
HTML Tag Erkennung beim erstellen einer Auktion Hinweisen.

Ihre Hotlines sind leider alle kostenpflichtig daher sehe ich es in
keinster weise ein Sie anzurufen. Schriftlich müsste ich jetzt eine
Menge tippen und telefonisch geht das sowieso viel besser.

Wenn Ebay was an Sicherheitslücken im System liegt, bin ich telefonisch
zu erreichen unter:

XXXX-XXXXXX XXXXXX: XXXX / XXXXXXX


Mit freundlichen Grüßen XXXX
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Dein Schrieb ist voller Formfehler... ich würde ihn wahrscheinlich auch nicht ernstnehmen ;)
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Bei e-bay sind geknacket Passwörter , auch ein zu nehmendes Problem , siehe Sendung " Planetopia " auf SAT.1 vom 13.04.04.
Sicherheitslücke bei eBay: So leicht sind Passwörter zu knacken!

Ein Klick, wie selbstverständlich, auf ein Angebot bei eBay – und schon sind Sie Ihr Passwort los! Datendiebe können nun in Ihrem Namen auf Shoppingtour gehen, unbegrenzt Artikel einkaufen und verkaufen. Das Prinzip ist einfach: Findige Datendiebe programmieren Internetseiten, die aussehen, wie eBay-Seiten, aber gar keine sind! Klickt ein Interessent auf das fingierte Angebot beim Auktionshaus, wird er weitergeleitet auf eine identische ausgelagerte Internetseite – und hinterlässt dort Fremden seine Daten. PLANETOPIA-ONLINE zeigt, wie leicht es ist, eBay-Kunden auszutricksen – und wie Sie sich davor schützen können!
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

das man den inhalt nach auktions ende aendern kann ist denke ich schon laenger bekannt , man kann aber in diesem fall vom seinem gebot zurueck treten ... zumindest war es bei mir so :)
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Also ich habe sowas schon zig mal im Internet gelesen und auch schon mehrere TV-Sender haben hier und da schonmal das Thema angeschnitten oder gleich darüber ausführlich berichtet.

Es ist LEIDER nichts neues und es wundert mich keines wegs, das Ebay da nicht reagiert. DIE WISSEN ES! Unter Garantie und tun trotzdem nichts daran, weils doch "keinen stört". Die Zuwachsraten der Mitglieder sind ja nicht zu stoppen.

Ich mache nicht um sonst einen großen Weg um private anbieter. Bei Händlern bekommt man ganz einfach eher seinen Willen.

Rodger
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Ist doch ganz einfach - die wollen Geld verdienen. Das können die nur wenn man Ebay traut - d.h. Ebay allgemein als Portal, da dürfen solche Lücken nicht bekannt werden - selbst wenn man die fixt, dann wird die Sache öffentlich und die Leute fragen sich, obs noch mehr Sicherheitslücken gibt.

dH sie machen garnichts. Wenn jemand betrogen wird, hat Ebay ja nichts damit zu tun - vor allem wenn der Verkäufer gegen die AGB verstößt.



Ergo nur von Firmen oder Bietern mit mehr als 100 Bewertungen kaufen, die schon lange dabei sind. Dann kann man sicher sein. Ist zwar nicht immer das billigste, aber immernoch billiger als nach Listenpreis.
dH man kann sich effektiv selbst schützen. Die größte Schwäche des Menschen ist Gier....
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

Ich finde es interessant wie wenig sich Ebay um die Sicherheit kümmert. PC-Welt hat jetzt auch einen Test gemacht wo ein 4 Zeilen Java-Script in die Angebotsbeschreibung eingefügt wurde, das die Bieten Schaltfläche im Browser manipuliert um die Benutzerdaten auszuspähen.
Ebay hat diese Auktion weder unterbunden noch PC-Welt aufgefordert, das Javascript zu entfernen. Sie lief ungestört bis zum Ende durch, sogar nachdem PC-Welt Ebay über die Sicherheits-Lücke informiert hatte.
Man scheint zwar an der Sicherheit zu arbeiten, aber wohl nach dem Motto:
Eile mit weile !
 
Re: Ebay Sicherheitslücke alles verbotene möglich ;(

@X23^Piracy: Bei deiner äußeren Form hätte ich auch nicht anders (wenn überhaupt) reagiert...

Ansonsten kann ich mich nur den Ausführungen meiner Vorredner anschließen!

Greets - SK
 
Wenn du das Problem genauer beschreiben würdest, z.B. an einem konkreten Beispiel, würden die dich sicherlich anrufen.
Zumindest würden sie mit dir in Kontakt treten (und ich denke, dass die sowas per Telefon machen, wenn du denen nochmals sagst, dass es zu viel zu tippen ist).

Vielleicht kennen die deine "neue" Sicherheitslücke schon und fixen das Problem schon. An eBays Stelle würde ich diese auch lieber still und heimlich fixen, anstatt sie der Öffentlichkeit zugänglich zu machen.
 
Die lücken die im TV oder auf anderen Quellen im Inet zu finden sind haben nichts mit dem zu tun wovon ich rede.

Java Scripts sind ja auch erlaubt bei Ebay, ich spreche von iframe, php include, meta tags, java applett etc.


MfG X23 :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dat IT Nerd
AKTUELLE SICHERHEITSLÜCKE BEI SYNOLOGY-NAS!
Antworten
18
Aufrufe
1.758
h00bi
h00bi
Engaged
TL-SG105E V5 Switch, FW keine Changelog, sicherheitslücke geschlossen?
Antworten
6
Aufrufe
429
Engaged
Engaged
M
Update: Bluetooth-Sicherheitslücke
Antworten
1
Aufrufe
1.007
SpiII
SpiII
M
News Browser unsicher: Chrome-Update schließt kritische Sicherheitslücke
2
Antworten
21
Aufrufe
1.909
Skidrow1988
Skidrow1988
O
Schwere BIOS-Sicherheitslücke in Gigabyte Mainboards
Antworten
14
Aufrufe
1.607
Fujiyama
Fujiyama
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz