NEWS Angriff auf eBay-Datenbank - PW-Wechsel für alle 145 Mio. User - weitere Sicherheitslücken entdeckt

Fergy · 23. Mai 2014

Du scheinst zumindest nicht allein zu sein, aber es betrifft wohl auch nicht alle User. Dazu via Google im eBay-Forum gefunden:

Also bei mir ist es auch egal, ob ich GROSS oder klein schreibe. Ich kann mich in beiden Varianten anmelden!

Bei mir funktioniert es nicht. Ich muss mein Passwort exakt mit Groß- und Kleinbuchstaben eingeben, sonst kommt ne Fehlermeldung. Windows 8.1 und IE. Mit FF hab ichs noch nicht probiert.

Der Fehler wurde (angeblich) vor Jahren schon behoben. War früher tatsächlich so.

http://community.ebay.de/t5/Schwier...t-nicht-zwischen-gross-und-klein/td-p/2123085

Vielleicht ein Problem für User, die einen sehr alten Account haben?

Eventer · 23. Mai 2014

Gut möglich. Habs jetzt aber eh geändert... Zum kotzen alles.

Fergy · 23. Mai 2014

Noch ein Update. Hat zwar direkt nichts mit dem Datenverlust zu tun, aber zeigt schön das Sicherheitskonzept / - bewußtsein von eBay

eBay war 2 Monate lang eine Sicherheitslücke bekannt (via JavaScript konnte Cookies zugegriffen werden), aber wurde bislang nicht geschlossen:

beliebigen JavaScript-Code in Auktionen zu platzieren. Der Code kann angeblich dazu genutzt werden, die Session-Cookies der Auktionsbesucher abzugreifen oder Malware zu verbreiten.

[...]eBays Sicherheitsabteilung [...] zu dem Schluss, dass es sich um ein vertretbares Risiko handele. [...]Daraufhin hat sich das Online-Auktionshaus nicht mehr bei ihm gemeldet.

http://www.heise.de/newsticker/meldung/Cookie-Klau-durch-zwei-Monate-alte-eBay-Luecke-2196557.html

eBay schrieb:
Wir nehmen das Thema Sicherheit bei eBay sehr ernst [...] Unser Team arbeitet mit Hochdruck daran, eBay so sicher wie nur möglich für Sie zu machen. Wir lassen keine weiteren Möglichkeiten aus, um die Sicherheit bei eBay weiter zu verstärken.

Eventer · 23. Mai 2014

Ohne Worte...

Gigabyte · 23. Mai 2014

Eventer schrieb:
Kann es sein das ebay nicht zwischen groß und Kleinschreibung im pw unterscheidet?

Das wäre ja der Hammer, haben die dann jede mögliche Kombination des Passworts gehasht in der Datenbank gespeichert oder wie? Kann ja nicht sein

Zerfikka · 23. Mai 2014

Eventer schrieb:
Ohne Worte...

Da fällt einem aber auch nix mehr zu ein. :lol:

Außer, was für Arschlöcher.

Übrigens schlägt ständig der Virenscanner Alarm wenn ich mir Artikel auf ebay angucke, wahrscheinlich ist da irgendein Werbebanner für verantwortlich, scheint aber auch keinen zu jucken.

Gigabyte · 25. Mai 2014

Gerade eine Email bzgl. Passwortänderungen bekommen, man sind die auf Trab

Und Ihr Passwort war verschlüsselt

Fergy · 27. Mai 2014

Update 27.05

Weitere Sicherheitslücken (Scripting-Lücke wurde eBay Jan 2014 gemeldet)

Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid.[...] zwei sogenannte Cross-Site-Scripting-Lücken (XSS) entdeckt, durch die ein Angreifer Javascript-Code in die Site einschleusen kann.
Dieser Code kann etwa das Sitzungs-Cookie angreifen und an einen anderen Server übertragen oder aber auch das Registrierungsformular umleiten. Schurtz gibt an, eBay bereits Ende Januar über das Kontaktformular für Security-Experten auf die Lücken aufmerksam gemacht zu haben.

Eissele ist es ebenfalls gelungen, JavaScript an eBays Filtermechanismen vorbei zu schleusen. In seinem Fall wird der Code sogar als Teil der Auktionsdaten bei eBay gespeichert (Persistent XSS). eBay erklärte gegenüber heise Security, dass die Lücke noch "in Begriff sei, beseitigt zu werden"

Und so läuft der PW-Wechsel der 145 Mio. eBay-Kunden:

Wer das bisher nicht erledigt hat, wird nun gezwungen:[...] Wer einwilligt, dem schickt eBay einen Bestätigungscode [...] Alternativ kann man sich auch anrufen lassen, woraufhin ein Sprachcomputer den Code vorliest. Der Bestätigungscode ist zwingend notwendig, um die Passwortänderung durchführen zu können. Bei einem Test von heise Security endete der Prozess zwar mit einer Fehlermeldung, das Passwort wurde aber dennoch geändert.

http://www.heise.de/newsticker/meld...llen-erzwungener-Passwortwechsel-2198431.html

JohnnyWohlfahrt · 17. Juli 2014

Hab gerade ne gefälschte Amazon-Mail bekommen, die wohl auf den eBay-Hack zurückzuführen ist. Dort habe ich mein Passwort natürlich schon lange geändert, aber ich werde in der Mail mit korrektem Namen angesprochen und gebeten mein Amazon-Konto zu verifizieren. Die Wahrscheinlichkeit bei eBay und Amazon mit derselben Mail-Adresse angemeldet zu sein ist sicherlich sehr hoch.

Die Wahrscheinlichkeit, dass HIER jemand auf sowas reinfällt ist sicherlich sehr gering, aber vielleicht warnt Ihr andere, von denen ihr wisst oder ahnt, dass sie auf sowas reinfallen könnten.

Zerfikka · 18. Juli 2014

Eine spätere Entsperrung ist nicht möglich ! :lol:

Fergy · 26. Juli 2014

Update 26.07.2014
Klage gegen eBay in den USA / Antrag auf Sammelklage

Der eBay-Kunde Collin Green aus dem US-Bundesstaat Louisiana hat den Online-Marktplatzbetreiber auf Schadenersatz verklagt. Er meint, eBay habe nicht ausreichend für Sicherheit auf seinen Servern gesorgt [...] Außerdem will Green erreichen, dass das US-Bundesgericht für den Eastern District of Louisiana das Verfahren als Sammelklage zulässt

Green beschwert sich darüber, dass eBay den Vorfall drei Monate lang für sich behalten hat[...]Entscheidung sei offenbar aus Gewinnstreben auf Kosten der Privatsphäre und Datensicherheit der Kunden getroffen worden. [...]Dabei habe eBay in seinem Bericht an die Börsenaufsicht zum ersten Quartal eingestanden, dass es möglicherweise Sicherheitsrisiken gibt. Außerdem habe eBay beispielsweise an der Verschlüsselung der Kundendaten gespart.

http://www.heise.de/newsticker/meldung/US-Sammelklage-gegen-eBay-nach-Datenklau-2268467.html

NEWS Angriff auf eBay-Datenbank - PW-Wechsel für alle 145 Mio. User - weitere Sicherheitslücken entdeckt

Benutzer, welche sich diesen Thread anschauen:

Fergy

Eventer

Twitch.tv/eventer_

Fergy

Eventer

Twitch.tv/eventer_

Gigabyte

Spam Front

Zerfikka

GOTTKAISER

Gigabyte

Spam Front

Fergy

JohnnyWohlfahrt

Lotterleben braucht keinen Masterplan.

Zerfikka

GOTTKAISER

Fergy

Wir schützen deine Privatsphäre