Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Lokales
Veröffentlicht am 14.07.2004 11:23:19
Das deutsche, auf IT-Security spezialisierte Unternehmen it.sec hat nach eigenen Angaben innerhalb von wenigen Stunden dutzende von ebay-Accounts geknackt. Ausgerüstet mit einem Laptop und einem DSL-Anschluss konnte der Sicherheitsspezialist so zeigen, wie einfach es ist, an vertrauliche Daten wie Anschrift oder Kontodaten von ebay-Mitgliedern zu kommen. Das potenzielle Sicherheitsrisiko besteht darin, dass im Namen des geschädigten Benutzers Käufe und Verkäufe durchgeführt werden könnten.
Zusätzlich wäre auch eine weitgehende Lahmlegung von ebay möglich, indem ein Robot-Programm losgeschickt wird, dass unter fremdem Namen Höchstgebote auf alles setzt, was ihm auf seinem Weg durchs System in die Quere kommt. Die Idee für den Hack-Versuch stammt von einigen Mitarbeitern des Unternehmens, die selbst ebay-Zugänge eingerichtet hatte und an der Sicherheit ihrer Accounts zweifelten. So machte man sich an die Arbeit das zu überprüfen. Über einen legalen Account wurde zunächst einmal eine umfangreiche Liste von Mitgliedsnamen erstellt. Mit Hilfe eines kleinen Programms, das sich durch die ebay-Bewertungen ackerte, hatte man so in kurzer Zeit mehr als 120.000 Mitgliedernamen gesammelt. Mit einem anderen Programm wurden dann unter den gesammelten Namen Anmeldeversuche durchgeführt. Dabei benutzte man eine Liste mit weiblichen Vornamen. Aus gutem Grund, denn laut den Erfahrungen des Sicherheitsunternemens, werden häufig Namen von Frau, Freundin, Kindern oder Tieren verwendet. Zusätzlich wurde noch der Benutzernamen selbst als Passwort ausprobiert.
Der Versuch und dessen Erfolg zeigen deutlich, wie wichtig es ist, ein möglichst sicheres Passwort zu verwenden. it-sec sieht das auch in der Verantwortung von ebay, das zum einen die Benutzer auf die potenziellen Gefahren von einfachen Passwörtern aufmerksam machen sollte, und zum anderen verhindern müsste, dass beim Anmelden beliebig viele Passwörter durchprobiert werden können. ebay wurde informiert und hat laut it-sec auch schon einige Änderungen durchgeführt.
Allerdings ist ebay sicher nicht der einzige Webdienst, bei dem derartige Gefahren lauern.
www.it-sec.de
Markus Klaus-Eder
« Microsoft World Wide Partner Conference Toronto - Microsoft ISA Server 2004 verf · it.sec knackt ebay Kennungen
· WCM BIOS-Check »
Kommentar
|
Etienne Beiträge: 403 Registriert: 2003-03-31 |
#237 Veröffentlicht am: 14.07.2004 16:38:48
Ist das nicht von heise schon mal gemacht worden (steht glaub ich noch auf der Seite!= ? lg Etienne |
Kommentar
|
gms76 Beiträge: 823 Registriert: 2002-12-31 |
#239 Veröffentlicht am: 15.07.2004 11:51:10
Passwörter auszuprobieren ist wirklich eine hochkomplexe Methode zu hacken. Dass es unsichere Passwörter gibt, ist nichts neues; dass ist meiner Meinung nach nicht hacken sondern rumprobieren. mfg gms |
Kommentar
|
Etienne Beiträge: 403 Registriert: 2003-03-31 |
#243 Veröffentlicht am: 15.07.2004 20:42:16
da muss ich dir Recht geben... Wissenschaftler probieren auch nicht so rum sondern forschen ordentlich... lg Etienne |
Kommentar
|
Etienne Beiträge: 403 Registriert: 2003-03-31 |
#244 Veröffentlicht am: 15.07.2004 20:43:01
zu dennen würde wirklich SciptKiddie passen  die haben ja scripts verwendet. |