Eine Sicherheitslücke im Newsletter-System des Online-Auktionshauses eBay hat mehrereTage lang die Benutzernamen und Namen angemeldeter User offen gelegt. Durch leichtes Abwandeln einer zugeschickten URL konnten alle Empfänger angezeigt werden. Der Fehler wurde inzwischenbehoben.
Laut eBay-Sprecherin Maike Fuest lag der Fehler bei der emarsys eMarketing Systems AG, die das Newslettersystem für eBay zur Verfügung stellt. Das letzte Update des Systems, welches vorwenigen Tagen aufgespielt worden war, enthielt diese Sicherheitslücke. Nach Bekanntwerden der Problematik wurde der Fehler laut eBay schnellst möglichst behoben.
Die Sicherheitslücke hatte sich in der Funktion, von eBay versendete E-Mails auch online abrufen zu können, eingenistet. Dazu wurde in jeder HTML-Mail ein Link zur Online-Ausgabemitgeschickt. Problematisch war hierbei, dass durch leichte Veränderung des Links die E-Mails anderer User abrufbar waren.
Zur eindeutigen Identifikation besteht jeder Link aus drei Hexadezimalwerten, die durch zwei groß geschriebene Is abgetrennt sind: 2ce700000 II 34cf968 II 8a6caeb8f9. Jetzt musste man nur dieletzten Ziffern des ersten Wertes erhöhen oder erniedrigen, um an die E-Mails anderer Benutzer zu kommen. Mit einem geeigneten Script war es somit möglich, in kurzer Zeit tausende vonBenutzerdaten auszulesen.
Momentan versucht eBay zu prüfen, ob Daten von Unberechtigten ausgelesen wurden. Dies ist besonders kritisch, da eBay in seinen Newslettern immer mit dem Hinweis auf den Namen sowie desBenutzernamens des Empfängers die Authentizität der E-Mail sicherzustellen. Mit den abgegriffenen Datensätzen wäre es nun sehr leicht, solche Hinweise zu fälschen.
Quellen: Stern.de | Falle-Internet.de