Wolfgang
KSG-Haarspalter™
Ulmer Sicherheitsexperten knacken dutzende eBay Accounts
Der IT-Sicherheitsdienstleister und Penetrationstest-Experte IT.sec aus Ulm hat mit einem Laptop und einem DSL-Anschluss in wenigen Stunden dutzende von eBay Accounts geknackt und damit gezeigt, wie einfach es ist, an Daten anderer eBay Mitglieder zu kommen.
09.07.2004 - Der Diebstahl von Kontodaten und Identitäten aus eBay ist möglich, wie die Ulmer Sicherheitsexperten von IT.sec herausfanden. Neben der Offenlegung vertraulicher Daten wie Anschrift oder Kontodaten können die ermittelten Informationen auch zu einem so genannten "Identitäts-Diebstahl" herangezogen werden. Hierdurch können im Namen des geschädigten Benutzers Käufe und Verkäufe durchgeführt werden. Ebenfalls denkbar wäre auch das weitgehende Lahmlegen von eBay durch automatisiertes Einkaufen mit gestohlenen Benutzerdaten.
Man könnte zum Beispiel ein Robot- Programm losschicken, welches Höchstgebote auf alles setzt, was ihm in die Quere kommt - natürlich in fremdem Namen, so die Experten weiter.
Auslöser des Versuchs war eine Mitgliedschaft einiger Mitarbeitern der IT.sec, die sich Sorgen um die Sicherheit ihrer Daten machten. "Ein Versuch lag da nahe", so Holger Heimann, Geschäftsführer des Unternehmens und Lehrbeauftragter für "E-Commerce und IT-Sicherheit" an der Fachhochschule Ulm: "Zwischen der Idee und der Umsetzung lag nur wenig Aufwand. eBay hatte zwar einige Hürden eingebaut, diese konnten wir aber erfolgreich umschiffen. Während eines Wochenendes war dann alles passiert."
Über einen legalen eBay-Account wurde zunächst eine umfangreiche Liste von eBay-Mitgliedesnamen erstellt. Dies wurde durch ein kleines Programm ermöglicht, welches sich durch die eBay-ewertungen hangelte und so innerhalb kurzer Zeit mehr als 120.000 Mitgliedernamen zu "Testzwecken" sammelte.
Mit einem anderen Programm und einer kleinen Auswahl der gesammelten Namen wurden dann Anmeldeversuche an eBay durchgeführt. Für die Passwortabfragen musste hierbei eine Liste weiblicher Vornamen herhalten. Die Wahl weiblicher Vornamen war kein Zufall. Erfahrungsgemäß werden Namen von Frau, Freundin, Kindern oder Tieren gerne als Passworte hergenommen. Zusätzlich wurde noch die Benutzerkennung selbst als Passwort ausprobiert.
Heimann: " Wenn man das Ganze weiterdenkt, könnte man eBay vermutlich sogar durch automatisierte Massenkäufe von Artikeln mit gestohlenen Accounts ernstlich gefährden".
"Man stellt einmal mehr fest, dass die Benutzer einerseits ihre Passworte viel zu unbesorgt wählen", so Heimann, "andererseits muss eBay den Nutzer hier besser führen und solch einfache Passworte genauso verhindern wie die Möglichkeit viele Passworte einfach durchzuprobieren. Zudem hätten wir erwartet, dass auch jemand Kenntnis von unseren plumpen Eindringversuchen nimmt." eBay wurde schon vor einigen Wochen über das Problem unterrichtet und hat mittlerweile offenbar auch einige Änderungen durchgeführt. (mk
( de.internet.com - testticker.de)
Weitere Infos:
eBay Deutschland
IT.sec
Der IT-Sicherheitsdienstleister und Penetrationstest-Experte IT.sec aus Ulm hat mit einem Laptop und einem DSL-Anschluss in wenigen Stunden dutzende von eBay Accounts geknackt und damit gezeigt, wie einfach es ist, an Daten anderer eBay Mitglieder zu kommen.
09.07.2004 - Der Diebstahl von Kontodaten und Identitäten aus eBay ist möglich, wie die Ulmer Sicherheitsexperten von IT.sec herausfanden. Neben der Offenlegung vertraulicher Daten wie Anschrift oder Kontodaten können die ermittelten Informationen auch zu einem so genannten "Identitäts-Diebstahl" herangezogen werden. Hierdurch können im Namen des geschädigten Benutzers Käufe und Verkäufe durchgeführt werden. Ebenfalls denkbar wäre auch das weitgehende Lahmlegen von eBay durch automatisiertes Einkaufen mit gestohlenen Benutzerdaten.
Man könnte zum Beispiel ein Robot- Programm losschicken, welches Höchstgebote auf alles setzt, was ihm in die Quere kommt - natürlich in fremdem Namen, so die Experten weiter.
Auslöser des Versuchs war eine Mitgliedschaft einiger Mitarbeitern der IT.sec, die sich Sorgen um die Sicherheit ihrer Daten machten. "Ein Versuch lag da nahe", so Holger Heimann, Geschäftsführer des Unternehmens und Lehrbeauftragter für "E-Commerce und IT-Sicherheit" an der Fachhochschule Ulm: "Zwischen der Idee und der Umsetzung lag nur wenig Aufwand. eBay hatte zwar einige Hürden eingebaut, diese konnten wir aber erfolgreich umschiffen. Während eines Wochenendes war dann alles passiert."
Über einen legalen eBay-Account wurde zunächst eine umfangreiche Liste von eBay-Mitgliedesnamen erstellt. Dies wurde durch ein kleines Programm ermöglicht, welches sich durch die eBay-ewertungen hangelte und so innerhalb kurzer Zeit mehr als 120.000 Mitgliedernamen zu "Testzwecken" sammelte.
Mit einem anderen Programm und einer kleinen Auswahl der gesammelten Namen wurden dann Anmeldeversuche an eBay durchgeführt. Für die Passwortabfragen musste hierbei eine Liste weiblicher Vornamen herhalten. Die Wahl weiblicher Vornamen war kein Zufall. Erfahrungsgemäß werden Namen von Frau, Freundin, Kindern oder Tieren gerne als Passworte hergenommen. Zusätzlich wurde noch die Benutzerkennung selbst als Passwort ausprobiert.
Heimann: " Wenn man das Ganze weiterdenkt, könnte man eBay vermutlich sogar durch automatisierte Massenkäufe von Artikeln mit gestohlenen Accounts ernstlich gefährden".
"Man stellt einmal mehr fest, dass die Benutzer einerseits ihre Passworte viel zu unbesorgt wählen", so Heimann, "andererseits muss eBay den Nutzer hier besser führen und solch einfache Passworte genauso verhindern wie die Möglichkeit viele Passworte einfach durchzuprobieren. Zudem hätten wir erwartet, dass auch jemand Kenntnis von unseren plumpen Eindringversuchen nimmt." eBay wurde schon vor einigen Wochen über das Problem unterrichtet und hat mittlerweile offenbar auch einige Änderungen durchgeführt. (mk
( de.internet.com - testticker.de)
Weitere Infos:
eBay Deutschland
IT.sec
