Das Online-Auktionshaus eBay hat auf seinem Server signin.ebay.de, über den sich Mitglieder per SSL-Verbindung sicher anmelden können, ein falsches Zertifikat installiert. Es ist auf den Servernamen signin.ebay.com.au ausgestellt, worauf Web-Browser mit einer Sicherheitswarnung reagieren. Gewöhnen sich die Mitglieder an diese Warnung, fallen sie leichter den zahlreichen Versendern von Phishing-Mails zum Opfer, die sie auf gefälschte Anmeldeseiten im eBay-Design leiten, um ihnen dort Benutzernamen und Passwort zu entlocken.
Auch nach dem Vorfall am vergangenen Wochenende, als die Kontrolle über die deutsche Site des Online-Auktionshauses für kurze Zeit verloren gegangen war, nimmt der Betreiber das Thema Sicherheit offenbar nicht ernster als zuvor. Die SSL-Anmeldung, die selbstverständlich sein sollte, wenn im Internet Geschäfte abgewickelt werden, sieht eBay nur als Option vor. Und schlimmer noch: Zum Ändern des Passworts ist keine sichere Verbindung vorgesehen; das neue Passwort wird unverschlüsselt durchs Netz geschickt.
Bislang hat sich eBay noch nicht zu den Folgen des Domain-Hijacking geäußert. Wahrscheinlich ist, dass der kurzfristige Inhaber der Domain sämtliche E-Mails an beliebige Adressen auf ebay.de erhalten hat. Womöglich hat er sogar die Benutzerdaten von Mitgliedern eingesehen, die mit der Option "Ich möchte auf diesem Computer eingeloggt bleiben" in der fraglichen Zeit auf http://www.ebay.de zugriffen. Doch statt die Mitglieder sofort zum Ändern eventuell kompromittierter Passwörter aufzufordern, wiegelte eBay nur ab: "Nutzer-Daten waren nicht gefährdet."
[Update]:
Seit etwa 12 Uhr liefert ebay.de wieder ein korrektes Zertifikat, sodass die Anmeldung per SSL jetzt wieder ohne Fehlermeldung klappt. Ein eBay-Sprecher erklärte gegenüber heise online, dass man an einer erweiterten SSL-Nutzung arbeite; einen Termin für Änderungen könne er noch nicht nennen.
Quelle:heise Security
Greets
@JAck:pfct: