CSRF-Sicherheitslücken bei eBay

16. September 2013

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie heute bekannt wurde, gibt es anscheinend ein massives Sicherheitsproblem beim bekannten Internet-Auktions-Anbieter eBay. Entdeckt hat diese Probleme der Security Researcher Paul Moore (siehe http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/).

Auswirkungen

Durch Ausnützen dieser Lücken ist es einem Angreifer möglich, fremde eBay-Accounts zu übernehmen und auch mit diesen auf Artikel zu bieten. Der Angreifer muss dazu lediglich einen Web-Browser, mit dem ein Benutzer in seinem eBay-Account eingeloggt ist, dazu bringen, eine vom Angreifer kontrollierte Webseite zu öffnen. Dies kann in manchen Szenarien auch eine Webseite sein, die der Benutzer bereits vor dem Einloggen in den eBay-Account geöffnet hatte (anderes Tab/Browser-Fenster).

Betroffene Systeme/Benutzer

Alle Benutzer mit eBay-Accounts, die eBay mit Web-Browsern nützen.

Abhilfe

Wir empfehlen Kunden von eBay folgende Maßnahmen bis zur Behebung des ursächlichen Problems:

nach dem Benutzen von eBay aktiv ausloggen, nicht nur den Browser/Tab schließen
während einer Sitzung bei eBay keine anderen Webseiten offen zu haben und auch keine anderen Webseiten zu öffnen
regelmäßig die Daten im eBay-Account zu überprüfen, und das Passwort zu ändern

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag des Security-Researchers Paul Moore (englisch)
http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/
Artikel bei Softpedia (englisch)
http://news.softpedia.com/news/CSRF-Vulnerability-in-eBay-Allows-Hackers-to-Hijack-User-Accounts-Video-383316.shtml