Neue Sicherheits-Lücke bei Ebay: Profile und Bewertungen können gefälscht sein

Der Trick funktioniert so: Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines Javascript an den Beschreibungstext an. Wenn sich ein Ebay-Nutzer nun dieses Angebot anschaut, führt dessen Browser das Mini-Programm automatisch aus. Das Javascript tauscht dabei die Daten in dem Ebay-Profil des Verkäufers nach Belieben aus - ähnlich dem Suchen und Ersetzen in einer Textverarbeitung. Nur wer Javascript in seinem Browser ausschaltet, sieht das echte Profil des scheinbar seriösen Anbieters. Darüber hinaus bewirkt eine weitere Änderung an dem Javascript, dass beim Klick auf die Bewertungen des Verkäufers nicht die Bewertungs-Texte von Ebay, sondern die Seiten eines anderen Servers geöffnet werden. Betrüger können so Anwender täuschen und beliebige Bewertungstexte von angeblich zufriedenen Käufern einblenden.

Nach Kenntnis der PC-WELT ist Ebay die Sicherheitslücke mindestens seit einer Woche bekannt. Geschlossen wurde sie aber bisher nicht. Dazu ein Pressesprecher von Ebay: "Das ist kein Problem, das nur Ebay hat. Von Ebay aus erlauben wir Javascripts, damit die Anwender ihre Angebote so attraktiv wie möglich machen können. Reine Text- Angebote sind langweilig. Wir arbeiten derzeitig mit Hochdruck daran, eine langfristige Lösung zu finden. Wir haben die Möglichkeit, diese Scripts zu identifizieren und derartige Auktionen zu unterbinden."

Bis die Sicherheitslücke geschlossen ist, empfiehlt PC-WELT allen Ebay-Kunden, vor einem Kauf zumindest vorübergehend Javascript in ihrem Internetbrowser zu deaktivieren. Beim Windows Internet Explorer Version 6 funktioniert dies über "Extras, Internetoptionen, Sicherheit, Stufe anpassen, Scripting, Active Scripting, Deaktivieren". Danach muss die Seite des Verkäufers neu geladen, und Javascript wieder aktiviert werden, da sonst nicht alle Funktionen von Ebay genutzt werden können.