eBay kommt nicht aus den Schlagzeilen – erst die Aufforderung an 145 Millionen eBay-Nutzer, die Kennwörter zu sichern. Nun gibt es Informationen, dass eine weitere Sicherheitslücke existiert, die zum Verbreiten von Malware bei eBay-Sessions genutzt werden kann.
Anzeige
Über die Passwort-Geschichte hatte ich diese Woche im Beitrag Leute, ändert euer eBay Kennwort berichtet. Was mich ärgert: Obwohl eBay die E-Mai-Adressen der Nutzer kennt, müssen die aus der Presse bzw. dem Web erfahren, dass man die Nutzerdaten samt Kennwörtern wohl entwendet hat. Und Details, ob und wie die Kennwörter verschlüsselt waren, sucht man vergebens (siehe auch diesen Golem.de-Artikel).
Jetzt kommt heise.de in diesem Artikel mit einer Information zu einer weiteren Sicherheitslücke bei eBay. Angreifer können in Auktionen Skripte einschleusen, die Session-Cookies auslesen oder auch Malware verbreiten. Möglich ist dies durch eine Sicherheitslücke, die die Injektion von beliebigen JavaScript-Code in Auktionen ermöglicht. Die persistente Cross-Site-Scripting (XSS)-Lücke wurde von Michael Eissele entdeckt. Dieser hat eBay (laut heise.de) bereits vor zwei Monaten informiert – passiert ist wohl nichts. Laut heise.de stuft eBay das Ganze als "vertretbares Risiko" ein. Zeit, das eBay-Konto zu löschen? Wie seht ihr das?
2015
In letzter Zeit ereignen sich gehäuft Datendiebstähle bei vielen, teils bekannten Firmen. Der Otto Normalverbraucher informiert sich doch gar nicht täglich wo er heute mal wieder ein Passwort ändern darf. Die Firmen sollten allgemein mehr in die Sicherheit der Kundendaten investieren und nicht darauf vertrauen das alle ihre Kunden Vollzeit Computerjunkies sind . Bei manchen Anbietern hat man auch keine Option sein Account zu löschen. Es ist auch erschreckend wie viele kleine Firmen einfach wieder verschwinden und dann stellt sich die Frage…Was ist mit meinen Daten passiert? Besonders sicher fühle ich mich derzeit nicht.
Nachtrag: Zwischenzeitlich gibt es bei heise.de in diesem Artikel die Info, dass die Kennwörter wohl verschlüsselt sind.
@Bauer
den Unternehmen die Selbstverantwortung zu übertragen, scheint ja nicht zu funktionieren.
Die Frage ist daher, ob solche "Lecks" nicht über die Datenschützer des Bundes/Länder mit Nachdruck nachgegangen und Strafen (je nach Unternehmensgröße, Kundenbestand und Risiko) verhängt werden sollten.
Auf der anderen Seite hat der Staat es ja auch nicht geschafft, den nPA richtig im Markt aufzustellen, denn sodann könnte man keine Passwörter usw. klauen.
@Günter
selbst wenn wir ständig Kunden-Accounts löschen würden, um die Bigplayer kommt man nicht rum bzw. der Endverbraucher will einfach nicht auf ebay usw. verzichten.