Ebay-Accounts sind leicht zu knacken

EnterpriseSicherheit

Mit geringen Aufwand hat sich das Ulmer Sicherheitsunternehmen it.sec in Ebay-Accounts eingehackt.

Mit geringen Aufwand hat sich das Ulmer Sicherheitsunternehmen it.sec in Ebay-Accounts eingehackt. Über gestohlene Identitäten könnten dann Phantasiekäufe getätigt, oder unter falschem Namen Gebote abgegeben werden. Über einen automatisierten Prozess ließe sich eventuell das gesamte Auktionshaus lahm legen, berichteten die Sicherheitsexperten.
Bieten unter falschem Namen würde natürlich früher oder später bemerkt werden. “Aber der Ärger, den der einzelne damit hat und die rechtlichen Unwägbarkeiten würden doch große Probleme verursachen. Wenn man das Ganze weiter denkt, könnte man Ebay vermutlich sogar durch automatisierte Massenkäufe von Artikeln mit gestohlenen Accounts ernstlich gefährden”, erklärte Holger Heimann, Geschäftsführer von it.sec.

Dabei sind die Sicherheitsexperten relativ einfach vorgegangen. Über eine Mitgliedschaft wurden die Nutzernamen von 120.000 anderen User erhoben. Mit einer so genannten ‘Lexical Attack’ konnten viele Accounts geknackt werden. Und zwar mit einer Liste von Frauennamen. “Erfahrungsgemäß werden Namen von Frau, Freundin, Kindern oder Tieren gerne als Passworte hergenommen. Zusätzlich wurde noch die Benutzerkennung selbst ausprobiert”, so Heimann.

“Man stellt einmal mehr fest, dass die Benutzer einerseits ihre Passworte viel zu unbesorgt wählen, andererseits muss Ebay den Nutzer hier besser führen und solch einfache Passworte genauso verhindern, wie die Möglichkeit viele Passworte hintereinander einfach durchzuprobieren”, erklärte Heimann. Der Sicherheitsexperte war auch erstaunt, dass keiner bei dem Auktionshaus von dem groß angelegten Einbruchsmanöver Kenntnis genommen habe.