Neue alte Sicherheitslücke bei Ebay

PC-WELT berichtet:

Gravierende Sicherheitslücke bei Ebay
Kaufen und verkaufen bei Ebay ist weniger sicher, als der Online-Marktplatz behauptet.
Erneut ist ein Sicherheitsleck aufgetaucht – es basiert auf einer Schwachstelle, auf die die PC-WELT schon vor Jahren hingewiesen hat. „Kriminelle können sich Zugang zu den Daten von Ebay-Mitgliedern verschaffen“, hieß es in einer Nachricht der Verbraucherschutzgruppe „Falle Internet“, die der PC-WELT vorliegt. Demnach reicht der Aufruf einer per Flash-Animation präparierten Angebotsseite aus, um Opfer eines Angriffs zu werden. Name und Anschrift, Mailadresse und Angaben zu gekauften Artikeln und Waren, auf die ein Gebot abgegeben wurde, selbst die Passwort-Sicherheitsabfrage – alles was in der Ansicht „Mein Ebay“ zu sehen ist, lässt sich heimlich auslesen. Dazu schickt eine Schad-Software das Log-in-Cookie des Nutzers an die Betrüger.

Ebay reagiert erst spät auf Hinweise Das Einschleusen fremden Codes mit dem Ziel, per-sönliche Anwenderdaten zu erschleichen, ist unter dem Begriff Cross-Site-Scripting (XSS) schon seit Jahren bekannt – auch die PC-WELT hatte bereits mehrfach darüber berichtet. Zwar stopft Ebay stets innerhalb weniger Stunden oder Tage derartige Sicherheitslöcher, wenn sie in den Medien auftauchen. Auf Hinweise einzelner Anwender wird jedoch eher halbherzig reagiert.

Schade eigentlich!

Advertisements

Ich bin erfasst

Gefunden in einer Ermittlungsakte der StA Hamburg:

RA Melchior (Bl. 20/21 d.A.) für den Beschuldigten / die Beschuldigte in MESTA erfassen.

MESTA ??? Die Pressestelle der Hamburger Behörden informiert:

Bei MESTA handelt es sich um eine moderne, speziell auf die besonderen Anforderungen der staatsanwaltschaftlichen Aufgaben zugeschnittene Anwendungssoftware. Das Programm unterstützt alle Aufgabenbereiche und wird maßgeblich zur Vereinfachung von Arbeitsabläufen sowie zur Verfahrensbeschleunigung beitragen und damit die Effizienz der Staatsanwaltschaft erheblich erhöhen.

Naja …

Kein Abenteuerurlaub bei Al-Qaida

Die Diskussion um das unselige BKA-Gesetz ist noch in vollem Gange, da legt die Justizministröse schon wieder nach, wie taz berichtet:

Die Bundesregierung plant ein neues Antiterrorgesetz. Demnach soll bereits die Vorbereitung und Anleitung von Gewalttaten unter Strafe gestellt werden. Strafbar wären demnach zum Beispiel der Besuch eines Terrorcamps und sogar die entsprechende Anfrage bei Al-Qaida. …
Konkret geht es um den Besuch eines terroristischen Ausbildungslagers, die Beschaffung von Waffen, Sprengstoff und Zubehör zum Bombenbau sowie die Finanzierung von Anschlägen. Erforderlich ist aber jeweils, dass die Handlung der Vorbereitung eines staatsgefährdenden Mordanschlags oder einer Entführung dienen. Es drohen bis zu zehn Jahren Haft.

Außerdem soll in einem neuen Paragraf 91 die „Anleitung“ zu einer schweren Straftat kriminalisiert werden. Bis zu drei Jahren Haft drohen dann jedem, der Anleitungen zur Herstellung von Sprengstoff anderen zugänglich macht oder sie sich verschafft. Tatort dürfte vor allem das Internet sein. Bedingung für die Strafbarkeit des Downloads ist auch hier die Absicht, einen Anschlag zu begehen.

Mal wieder ein Gesetz von mehr als zweifelhafter Sinnhaftigkeit aus dem Hause Zypries und mal wieder das Internet als Hort alles Bösen! Da ich aber (noch) nicht die Absicht hege, einen Anschlag zu begehen, darf ich wohl (noch) Folgendes publizieren:

Dynamit besteht aus 75% Glycerintrinitrat (volkstümlich „Nitroglyzerin“ genannt) als explosiver Komponente, 24,5% Kieselgur als Trägermaterial und 0,5% Natriumcarbonat (Soda) als chemischem Stabilisator. (Quelle: Wikipedia).

Schwarzpulver besteht aus einer Mischung von 75 (Gewichts-)Prozent Kaliumnitrat, auch Salpeter genannt, 15 Prozent Holzkohle, vornehmlich aus dem Holz des Faulbaums gewonnen, und 10 Prozent Schwefel, der absolut säurefrei sein muss. (Quelle: Wikipedia).

Post aus der Nachbarschaft ???

Die Abzocker werden auch immer dreister: Auf unserer Kanzleinummer teilt soeben eine freundliche Bandansage mit, bei nachbarschaftspost.com sei eine Nachricht für mich hinterlegt. Auf der Seite solle ich dann einen Code angeben, um die Nachricht lesen zu können.

Ach, wirklich? Ein Blick auf die Seite:

Tragen Sie jetzt Ihren Code und Telefonnummer ein, um Ihre persönliche Nachricht zu lesen und zu erfahren, wer sich für Sie interessiert. Alles was Sie brauchen ist Ihr Code und Ihre Telefonnummer. Zusätzlich erhalten Sie viele interessante Informationen über die Menschen aus Ihrer Nachbarschaft und Umgebung. Jetzt Code eingeben und sofort erfahren, wer Ihnen eine Nachricht hinterlassen hat. Finden Sie noch mehr nette Menschen aus Ihrer Nachbarschaft und Umgebung.

Klingt doch nett, oder? ABER:

Lernen Sie nette Menschen kennen, melden Sie sich jetzt an und testen Sie unsere Community vierzehn Tage kostenlos. Danach fällt ein 9 Euro Monatsbeitrag an. Die Mitgliedsdauer ist auf zwei Jahre ausgelegt. Erfahren Sie jetzt, was in Ihrer Nachbarschaft und Umgebung passiert.

„Vierzehn Tage kostenlos“? Naja, wer’s glaubt. In den AGB steht jedenfalls Folgendes:

2. Zustandekommen des Vertrages
2.1 Durch die Absendung der vollständigen Registrierungsdaten gibt der Nutzer ein Angebot zu einem kostenpflichtigen Vertragsabschluss mit nachbarschaftspost.com ab. Der Anbieter nimmt dieses Vertragsangebot des Nutzers an, indem er diesem eine Registrierungsbestätigung per E-Mail übermittelt, damit ist der Vertrag zustande gekommen.

Ansonsten: 9 Teuro 24 Monate lang sind schlappe 216.- Teuro für derartige „Informationen“, das lassen wir doch mal lieber. >:-[

Nachtrag: Ausführliche Infos zu den fiesen Methoden dieser Abzocker finden sich hier.

Vergrüßt

SPON berichtet über kleine Widrigkeiten des Alltags. Sehr hübsch:

„Ich habe heute zwei SMS von meiner Freundin bekommen. In der ersten teilte sie mir mit, dass alles aus ist. In der zweiten, dass sie sich mit dem Adressaten vertan hat.“

B)

Sex sells?

Vor einiger Zeit war hier diskutiert worden, ob Überschriften mit „sexuellem“ Inhalt mehr Traffic bringen. Hatte ich bisher auch geglaubt, aber die aktuelle Statistik bei JuraBlogs belehrt eines Besseren:

=> 1000-Meter-Laser vom 23.04.2008, 14:04 Uhr – 45 Leser
=> Nacktputzen vom 23.04.2008, 13:51 Uhr – 42 Leser

Technik zieht anscheinend noch (etwas) mehr. 😉

Update 24.o4.2008:

„1000-Meter-Laser“ führt nach wie vor mit 70 Lesern vor „Nacktputzen“ mit 61 Lesern. „Sex sells?“ ist mit 30 Lesern weit abgeschlagen.