Vor einiger Zeit wurde die Internetwache auch auf ebay.de fündig.
Sicherheitslücken auf solchen großen Seiten haben immer eine ganz besondere Brisanz, zum einen auf Grund der vielen Nutzer und Besucher, zum anderen auf Grund des Faktes, dass so große Unternehmen, wie Ebay, meistens viel Geld für Sicherheit im IT Bereich ausgeben, aber trotzdem noch Lücken haben.
Die Untersuchung der Ebayseite wurde spontan entschieden, da man davon ausging, dass es dort keine Lücken zu finden gäbe. Doch die Hoffnung stirbt zuletzt, und so fanden wir eine Lücke, welche uns wieder einmal bewies: Kein System ist absolut sicher und fehlerfrei.
Für viele Menschen ist Ebay die zentrale Anlaufstelle, wenn es um den Internet(-ver-)kauf von Gütern geht. Die mit den (Ver)Käufen, durch Bewertung, gewonnene Reputation für Verkäufer bzw. Käufer ist von sehr großer Bedeutung. Diese ist jedoch an den Account gebunden, sodass eine Accountübernahme durch Kriminelle, welche die von uns gefundene Lücke ausgenutzt hätten, fatal wäre.
Über einen früheren, ähnlichen Fall, welcher bei Heise publiziert wurde, wussten wir direkt, wo wir nach entsprechenden Ansprechpartnern suchen mussten.
Schnell war eine entsprechende Hinweisnachricht verfasst, und an das Security Team verschickt. Das geschah am 26.08.2012. Bei einem großen Unternehmen, wie Ebay, erhofften wir eine schnelle Behebung der Sicherheitslücke, doch wir sollten enttäuscht werden.
Nach zwei Tagen erhielten wir einen Statusbericht, dass man die Email an die Entwickler weitergeleitet hatte. Es folgte fast ein Monat lang Funkstille, bis wir am 20.09.2012 per Twitter nachfragten, wie denn der Status der Lücke sei, und ob man sich weiter darum kümmere.
Dadurch kam ein wenig Bewegung ins Spiel. Der Twittersupport veranlasste eine kurze Rückmeldung der zuständigen Entwickler, welche jedoch mehr schlecht als recht war. Man teilte uns mit, dass die Entwickler “immer noch aktiv an einer Lösung des Problems arbeiten”. Für uns nur teilweise verständlich, schließlich ist es bei einer entsprechend großen Webseite mit vielen Unterseiten und Scripten, wie Ebay, schwer nach einem bestimmten Fehler zu suchen und diesen Fehler erfolgreich zu beheben. Bei unserer Lücke handelte es sich um eine Cross-Site Scripting Lücke (XSS). Diese war zwar “nur” auf einer kleineren Unterseite, welche unter der Subdomain reifen.ebay.de zu erreichen war, aber trotzdem erwies sie sich als äußerst kritisch, denn mit Hilfe dieser Lücke hätte man möglicherweise Phishingsites erstellen können und darüber Benutzerkonten übernehmen können.
Es ist unverständlich, warum man das Problem nicht übergangsmäßig mit einer Sperre der Unterseite löste, sondern die Lücke bis zur Behebung des Problems offen ließ. Ganze 6 weitere Wochen dauerte es, bis wir am 03.11.2012 feststellten, dass die Sicherheitslücke nicht mehr vorhanden war. Daraufhin fragten wir beim Security Team von Ebay nochmal nach, und erkundigten uns nach dem Status der Lücke. Diese meldeten zurück, dass die Lücke behoben sei und plazierten freundlicherweise auf der “Security Research Acknowledgement” Seite einen dankenden Hinweis.
Wir möchten uns hiermeit bei Ebay für die Behebung der Lücke und die Eintragung in der Danksagungsseite bedanken, und schließen hiermit unseren wahrscheinlich bekanntesten Fall ab.
Das Team der Internetwache.org
Screenshots
