Die Sicherheitsprobleme bei eBay scheinen nicht abzureißen: Das Internetauktionshaus eBay steht vor einem neuen schweren Datenleck. Cyberkriminelle können die Realnamen von deutschen eBay-Kunden im Internet abfragen und missbrauchen. Betroffen sind die Empfänger des millionenfach versendeten eBay-Newsletters. Im Internet sind deren Namen, Vornamen und die jeweils zugehörigen eBay-Mitgliedsnamen abrufbar. Die Sicherheitsprobleme beim weltgrößten Internetauktionshaus eBay reißen nicht ab. Erst mitte September ist es kriminellen Hackern gelungen, über den Internetbezahldienst Paypal beliebig auf Daten sämtlicher eBay-Kunden zuzugreifen...
Ebay reagierte und stopfte die Sicherheitslücke. Vor wenigen Wochen zielte ein neuer Angriff auf die Daten der Ebay-Nutzer ab: Ein Unbekannter veröffentlichte im US-amerikanischen eBay-Forum "Trust & Safety" die persönlichen Daten von 1200 eBay Kunden - darunter Namen, Adressen und Kreditkartennummern. Das Unternehmen bestätigte den Vorfall. Die Kundendaten seien echt gewesen, erklärte eBay-Sprecherin Nichola Sharpe.
Betroffen sind diesmal die Empfänger der millionenfach versendeten eBay-Newsletter. Im Internet sind deren Namen, Vornamen und die jeweils zugehörigen eBay-Mitgliedsnamen abrufbar. Wie konnte es zu dieser Panne kommen? eBay verschickt an seine Kunden Newsletter in bunt gestalteter HTML-Form. Da allerdings nicht alle Empfänger die HTML-Funktion im E-Mailprogramm aktiviert haben, werden sämtliche Newsletter zusätzlich als Website im Internet hinterlegt. Per Mausklick können die Newsletter-Seiten aus der E-Mail heraus aufgerufen werden. Beide Versionen enthalten in der Anrede den Namen, Vornamen und Mitgliedsnamen und häufig auch die Bewertungspunktzahl des eBay-Nutzers.
Wie falle-internet.de herausgefunden hat, lassen sich mit geringen Manipulationen an den hinterlegten Webadressen (URL) die personalisierten E-Mails anderer Nutzer abrufen. Wegen fehlender Verschlüsselung ist fast der gesamte Datenbestand auslesbar. In folgender Form sind die Daten im Internet abgelegt: Im Kopf der Newsletter ist neben dem Namen des eBay-Accounts auch der Vor- und Nachname des Inhabers aufgeführt. Um die hinterlegten Newsletter anderer Nutzer aufzurufen, muss nur ein Teil der Webadresse variiert werden.
falle-internet.de hat durch Tests herausgefunden, dass auch Newsletter solcher Nutzer im Internet hinterlegt sind, deren E-Mails keinen direkten Link auf die zusätzliche Website enthalten. Das ist z.B. in den Newslettern für web.de-Kunden der Fall. Neben deutschen eBay-Kunden findet man auch Adressen von österreichischen Nutzern im Datenbestand. Das Auslesen der Daten ist mit sogenannten Skripten auch automatisiert möglich. Ein Programm würde fortlaufend die Newsletter mit entsprechenden Zahlen und Buchstabenreihen im URL abfragen. Unseriöse Datensammler und Versender von Phishing-E-Mails könnten so in wenigen Stunden hunderttausende Datensätze abgreifen.
Die Sache hat eine besondere Brisanz. eBay weist regelmäßig seine Kunden darauf hin, dass die Nennung des Vor- und Nachnamen in E-Mails ein Hinweis auf deren Echtheit ist. Normalerweise haben Versender von Spoof- oder Phishing-E-Mails darauf ja keinen Zugriff. Die Newsletter sind auf dem Server des österreichischen E-Mail-Dienstleisters Emarsys AG gespeichert. Entweder wurden die Daten von eBay an diese Firma weitergereicht oder selbst auf deren Server abgelegt. Beim Schutz der Kundendaten ist eBay auch dann in der Pflicht, wenn mit Dritten kooperiert wird.
Quelle: Markenpost.de
