ebayinc.com: kritische Sicherheitslücke geschlossen

Article by · 23. März 2015 ·
Screenshot von ebayinc.com (Ausschnitt)

Screenshot von ebayinc.com (Ausschnitt)

ebayinc.com beinhaltete bis vor kurzem eine kritische Sicherheitslücke. Bis zum 11. März 2015 war es möglich, unter Ausnutzung eines Directory Traversal auf den Webserver des eBay-Blogs zuzugreifen. Die Lücke hat Aria Akhavan von der Wiener Websec GmbH entdeckt, und dem US-Unternehmen über das hauseigene Bug Bounty Program gemeldet.

Mit über 33.500 Mitarbeitern betreibt das US-amerikanische Unternehmen eBay Inc. das weltweit größte Auktionshaus im Internet. Umso erstaunlicher ist es, dass in der Vergangenheit immer wieder diverse Sicherheitslücken bekannt wurden. Über die Anzahl der bislang nicht veröffentlichten Lücken kann nur spekuliert werden.

In diesem Fall handelte es sich um eine Arbitrary File Download Vulnerability (Directory Traversal), die der Wiener Datenschützer Aria Akhavan dem Unternehmen am 23.2.2015 meldete. Am 12. März wurde Akhavan mitgeteilt, die Lücke habe man geschlossen.

Kundendaten von eBay wahrscheinlich nicht betroffen

Matthias Ungethüm kann die Existenz der Lücke bestätigen. Allerdings kann er auch ein Stück weit Entwarnung geben. Ungethüm mutmaßt, der Webserver des Corporate Blogs habe nichts gemeinsam mit den unzähligen anderen Servern des Unternehmens. Zwar war de facto ein Vollzugriff auf die gespeicherten Daten dieses Webservers möglich. Er hält es aber für unwahrscheinlich, dass man darüber auch einen illegalen Zugang zu eBay-Kundendaten oder -Passwörtern erhalten konnte.

bugbountyprogram_ebay_ebayinc.comFür eBay wäre es allerdings gefährlich geworden, hätte ein Mitarbeiter mit entsprechenden Rechten dort das gleiche Passwort wie auf einem der anderen Server benutzt. In dem Fall hätten Cyberkriminelle die bei ebayinc.com erbeuteten Zugangsdaten auch für den Administrationslogin eines kritischen Bereiches des Online-Auktionshauses verwenden können. Für das im Jahr 1995 gegründete Unternehmen wird dies sicher nicht der letzte Zwischenfall gewesen sein. Wir werden über weitere Sicherheitslücken berichten.

Ihr habt selbst einen Bug entdeckt und wisst nicht, an wen ihr euch wenden sollt? Die Firma ist informiert, reagiert aber nicht? Wir stehen Euch gerne mit Rat und Tat zur Seite. Tarnkappe.info schützt die Identität von Datenschützern, die Schäden von Unternehmen und Privatpersonen abwenden wollen!

Nehmt bitte Kontakt mit uns auf! Natürlich auch anonym!

Mehr zu diesem Thema:

Flattr this!

16 Comments

  • comment-avatar

    Beim Auffangen würde ich gerne behilflich sein. Stolpern kann man halt auch über sein eigenes Ego. Ich darf das sagen, ich habe auch eines, welches sehr gerne gestreichelt wird.

    Ich habe schon beim 1. Versuch verstanden, warum Du nicht auf Details eingehen kannst. Ich weiß auch schon seit 20 Jahren, was ein NDA ist. Mir geht’s um das zur Schau stellen von Wissen und die Frage nach der Motivation, warum man (Frau) das immer wieder tut. Sorry, ich bin deswegen gerade ein wenig angefressen.

    • comment-avatar

      Du hast mich falsch verstanden. Mir ging es nicht darum, dich loszuwerden oder zu versuchen, dich auf stumm zu schalten. Warum reagieren Frauen immer so emotional? Meine tut das auch ständig und immer. ;-)

      Ich bin oft sehr froh über Deine Kommentare, weil Du wenigstens Ahnung von dem hast, was Du schreibst. Das kann man leider nicht von allen Kommentatoren sagen. Weder hier noch sonstwo.

      Ich habe seit 2006 durchgehend die Erfahrung gemacht, dass leider ausgerechnet die am besten informierten Leser die stummsten sind. But everything should be well balanced. Did you get the point now?

  • comment-avatar

    @deubacoba:disqus: Das war keine Zweitverwertung von heise online o.ä., eben nicht. Wäre die Lücke so richtig heavy gewesen, hätte ich mir keine 2 Wochen Zeit gelassen, überhaupt darüber zu berichten. Ich fands aber spannend genug, um es doch noch zu bringen. Davon abgesehen: Danke für das ehrliche Feedback. Das ist genau das, was ich hören wollte. Thx!

  • comment-avatar

    Das ist wirklich aufschlussreich. Bei jedem Pups aus der Warez-Ecke kommen gefühlte 100 Kommentare. Bei so etwas reagiert mal wieder niemand. ;-(

    • comment-avatar

      HerrRichter2015

      Das ist doch logisch. Illegal Warez zu besorgen bzw. zu verbreiten ist wesentlich einfacher als Sicherheitslecks in Webseiten aufzuspüren. Letzteres setzt ein bestimmtes Know-How voraus, was nur eine kleine Gemeinde von Hackern beherrscht. Um sich mit Warez zu beschäftigen muss man noch nicht mal lesen & schreiben können.
      Außerdem ist die “tarnkappe” mit Sicherheit keine Austauschplattform für Hacker jeglicher Couleur.

    • comment-avatar

      deubacoba

      Ich versuchs mal:

      – Bis zum 11. März 2015 war es möglich, unter Ausnutzung eines Directory Traversal auf den Webserver des eBay-Blogs zuzugreifen.

      Das klingt jetzt nicht wirklich weltbewegend und hoch kritisch. Aus dem Bauch geschossen ohne mit den Kellerasseln gesprochen zu haben: minor impact – was für die Schmeißfliegen.

      – , und

      Offtopic: Wie war das noch mal mit Komma und “und”. Da gibt es so tolle Tools, die oft mit F7 gestartet werden.

      – Mit über 33.500 Mitarbeitern betreibt das US-amerikanische Unternehmen eBay Inc. das weltweit größte Auktionshaus im Internet.

      Wow, das habe ich nicht gewußt. Sorry, für meine Großtante wäre das neu, die schaut hier aber definitiv nicht vorbei.

      – Umso erstaunlicher ist es, dass in der Vergangenheit immer wieder diverse Sicherheitslücken bekannt wurden.

      Was soll daran erstaunlich sein? Ein Big Player im Online-Geschäft hat Lücken, na und? Das haben alle, egal wo man schaut. Bedenklich wäre es erst, wenn es sich um strukturelle Defizite handeln würden oder diese Lücken mit bestimmten Absichten erzeugt oder geduldet werden würden.

      – Über die Anzahl der bislang nicht veröffentlichten Lücken kann nur spekuliert werden.

      Okay, dann sparen wir uns aber den Satz. Diesen Sack Reis brauchen wir nicht.

      Der darauffolgende Absatz, bestätigt meinen Bauchschuß und wir können auf minimal risk runterstufen. Damit reduziert sich das Ganze zu einer netten Werbeveranstaltung für Websec (denen wir das auch gönnen).

      Danach wird wieder wüst spekuliert. Wenn der Hirundi Bakschi tatsächlich die gleichen Zugangsdaten verwenden würde, wäre das die Meldung und nicht der andere Blödsinn. Da hätte man ein größeres Problem, weil der IT-Dienstleister dann gekonnt ein paar Standard-Policies umgangen hätte.

      Sehr schön ist das “Wir werden über weitere Sicherheitslücken berichten”. Erstens muß es doch heißen: “Wir werden auch in Zukunft diverse Erstquellen zweitverwerten.” oder ” Auch Zukunft werden wir bei Heise gekonnt abschreiben.”

      Den letzten Absatz spare ich mir, abgesehen davon hat HerrRichter schon alles weitere festgestellt.

      P.S.: In der Regel ist so ein Beitrag in 30 Sekunden abgehakt und ich habe nicht vor jedesmal eine Analyse zu fahren, nur wenn der Fahrservice im Stau steckt! Der Mehrwert von TK liegt bei einigen aktiven Kommentatoren, die oftmals sehr gekonnt die dünnen Bretter – auch Artikel genannt – aufwerten.

      • comment-avatar

        deubacoba

        Das mit dem Franzosen, lasse ich einfach mal so stehen, auch wenn es nur im Herzen ist.

        Der Fahrservice steht nicht mir persönlich zu, aber meinem derzeitigen Schützling oder Auftraggeber. Da der Herr derzeitig richtig froh ist, daß sein Arsch ausnahmsweise mal nicht in der Schußlinie hängt, werde ich gerade gehegt und gepflegt. Ich hoffe, daß es dabei bleibt, wenn ich mal wieder im Winchester House vorbeischauen muß. London, New York, Tokyo sind doch nur dann schön, wenn man sich um die Point to Point Verbindungen nicht kümmern muß.

        LICD is a very special kind on enlightened entertainment – at least most of the time.

      • comment-avatar

        Aria Akhavan

        Gut dann werd ich wohl auch mal meinen Senf dazugeben.

        Auf
        einem Produktivsystem ist es immer sehr Empfehlenswert seine Fehler
        nicht für Außenstehende anzuzeigen. Soweit sogut. Ebay sollte diese auch
        nicht anzeigen. Ein Directory Traversal macht es aber für einen
        Angreifer nicht nötig die Fehler auf der Seite zu sehen. Man sieht sich
        eben direkt mal die Error-Logs an.

        Weiter im Text.
        Ein Angreifer sieht im normalfall keinen PHP Code und kann damit nicht
        spezielle Angriffe durchführen die eben ein wenig wissen über den Code
        benötigen.

        Gut, gehen wir davon aus, es gäbe keine
        Fehler und es gäbe auch keinen PHP Code den wir sehen können
        (rechtesetzung?!), dann könnten wir immerhin immernoch den ganzen
        Quellcode kopieren und diesen einfach auf einem anderen Webserver
        hochladen.

        Ich könnte jetzt 100 verschiedene Angriffsszenarien auflisten, jedoch bringe
        ich die Leute diesmal lieber nicht auf blöde Ideen. Diese Lücke ist
        alles andere als Low Impact, deswegen sind Directory Traversals auch die Interessantesten Lücken.

        • comment-avatar

          deubacoba

          Sorry, ich höre immer noch kein Riskassessment? Über wieviele MEU reden wird?

          100 und mehr potentielle Angriffsszenarien gibt es auch ohne Lücke, deswegen wird daraus immer noch nichts Handfestes.

          Was wäre der betriebswirtschaftliche Schaden der entstehen könnte und der nicht versicherungs- bzw. absicherungstechnisch abgedeckkt ist? Entstünde dieser Schaden nur aufgrund der festgestellten Lücke oder gibt es alternative Szenarien, die die gleiche Schadenswirkung hätten?

          Wenn das geklärt ist, dann kann man sich Gedanken über Eintrittswahrscheinlichkeiten machen.

          Es gibt lustigere oder groteskere Sachen, wie wenn sich der CS Chef vor seinem Abgang noch schnell 12 Millionen als Gratifikation genehmigt und Regulator und Aufsichtrat erst aus der Presse auf diesen Umstand aufmerksam gemacht werden.

      • comment-avatar

        Anonym_2014

        Zweitverwertung von Tarnkappe bei Heise:

        … verweist auf eine Warnung des Portals Tarnkappe.info. Diese vermutet, entsprechende Seiten könnten als Honeypot genutzt werden, um IP-Adressen und andere Nutzerdaten zu sammeln

        Quelle:
        http://www.heise.de/newsticker/meldung/Razzia-bei-Betreibern-des-Filmportals-Kinox-to-2432216.html

    • comment-avatar

      Postulator

      Liegt vielleicht daran, das es hier um eine Sachlage geht wo eigentlich technische Kenntnisse erforderlich sind, um einigermaßen sinnvoll mitdiskutieren zu können.
      Bei dem anderen Themenkomplex werden in erster Linie Meinungen und Ansichten ausgetauscht.
      Eventuell nutzt aber auch niemand von den Lesern der Tarnkappe Ebay (kleiner Scherz).

      PS: Gerade, das hier sehr konträre Standpunkte recht ungefiltert aufeinandertreffen, macht den Reiz Deines Blogs aus (das schließt edoep ausdrücklich ein :-) ).


Leave a comment