Peinliches Leck bei eBay Millionen Kunden betroffen

Peinliches Leck bei eBay
Persönliche Daten von Millionen eBay-Nutzern abrufbar.

Peinliches Datenleck auf eBay
Schwere Panne bei dem Auktionshaus: Die privaten Daten von Millionen eBay-Nutzern sind problemlos über das Internet einsichtig.

Erneute Datenpanne bei eBay
Skandalöse Datenpanne bei eBay: Aufgrund fehlender Sicherheitsvorkehrungen waren tagelang die Nutzerdaten von Millionen eBay-Kunden im Internet abrufbar. Mit Hilfe von manipulierten Webadressen (URL) missbrauchten Internet-Kriminelle die Sicherheitslücke und spionierten Vor- und Nachnamen sowie eBay-Kennung von Nutzern aus. Betroffen waren alle Abonnenten des eBay-Newsletters – laut den Sicherheitsspezialisten von Falle-Internet rund sechs Millionen Nutzer. Mit Hilfe der Daten versenden Täter mittlerweile täuschend echt nachgeahmte eBay-Mails- jeder Newsletter-Kunde ist in Gefahr, Opfer von raffinierten Phishing-Attacken zu werden. (30.10.2007)

Falle-Internet zufolge hätten Online-Betrüger binnen weniger Stunden hunderttausende Datensätze stehlen können. Ursache seien fehlende Sicherheitsbarrieren für das Newsletter-System. Mit manipulierten URLs ließen sich personalisierte Internetseiten aufgrund fehlender Verschlüsselung von Jedermann abrufen. Diese Seiten enthalten Vor- und Nachname sowie Benutzer-Kennung des Abonnenten. Selbst Laien könnten durch simple Variation einer bestimmten URL die Daten der eBay-Nutzer einsehen. Kritisch daran ist, dass eBay seit Jahren seinen Nutzern predigt, die Nennung des Vor- und Nachnamens in Verbindung mit dem Nutzernahmen sei ein Echtheitsmerkmal von eBay-Mails.

URL enthält persönliche Daten
Die Datenlücke liegt bei dem eBay-Dienstleister Emarsys. Das Unternehmen betreibt für eBay Online-Marketing. Emarsys hinterlegt dabei für jeden Newsletter-Abonnenten eine personalisierte Website, dessen URL sowohl den Klarnamen als auch den Mitgliedsnamen in codierter Form enthält. Dies bestätigt eBay-Sprecherin Maike Fuest gegenüber der Nachrichtenagentur dpa: "Der Fehler lag bei einem Subunternehmen. Es sind aber keine vertraulichen Informationen wie Passwörter, eMail-Adressen oder Kreditkarten-Informationen einsehbar gewesen." Auslöser sei ein Programmierfehler im Software-Update gewesen, das vor wenigen Tagen eingespielt wurde.

Webseiten unverschlüsselt im Netz
Durch Manipulation der von Emarsys hinterlegten URL ist es möglich, auf für andere eBay-Kunden hinterlegte Websites zu gelangen, auf denen Vor- und Nachname sowie Benutzerkennung stehen. Diese URL enthalte laut Falle-Internet drei Blöcke, dessen Variablen schlicht geändert werden müssen, um auf die personalisierten Websites zu gelangen. Mithilfe eines Scripts könnten Web-Gangster das Sammeln der vertraulichen eBay-Zugangsdaten vollautomatisch durchführen - hunderttausende Datensätze könnten in wenigen Stunden zusammenkommen. Kritisch sei dies vor allem deshalb, da eBay stets darauf hinweise, dass die Nennung des Klarnamens in den eMails ein Echtheitsmerkmal sei. Diesen Umstand nutzen mittlerweile Online-Gangster und verschicken massenhaft gefälschte eBay-Newsletter, die täuschend echt sind.

Angriff mit gefälschten eBay-Newslettern
eBay reagierte mittlerweile und stopfte die Newsletter-Lücke. Wie viele Datensätze die Phisher bislang ausspionieren konnten, ist unbekannt. Spam-Mails mit gefälschten eBay-Newslettern sind mittlerweile massenhaft im Umlauf und sollten umgehend gelöscht werden. Bereits in der Vergangenheit kämpfte eBay wiederholt mit schweren Datenpannen. Vor wenigen Wochen wurden eMail-Adressen von Kunden versehentlich ins Netz gestellt. Weit dramatischer waren die Ereignisse im September: Rumänische Banden nutzten im großen Stil eine Sicherheitslücke bei der eBay-Tochterfirma PayPal, um massenweise Käufer abzuzocken. Mit Hilfe einer Spezialsoftware bedienten sie sich geheimer Nutzerdaten und unterbreiten Opfern betrügerische Verkaufsangebote.

Quelle: t-online