Notbremse Ebay flickt Sicherheitsleck

Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen Offerten perfider Krimineller beschickt. Die dafür nötigen Adressen hatten sie aus den Datenbanken von Ebay selbst gefischt - eine erhebliche Sicherheitslücke. Jetzt ist das Leck zumindest bei Geboten ab 100 Euro gestopft .

Von


Wenige Stunden, nachdem SPIEGEL ONLINE über eine klaffende Sicherheitslücke bei Ebay berichtete, ist es dem Unternehmen nach eigenen Angaben gelungen, das Leck zu stopfen.

Trügerische Sicherheit: Gefälschte Versicherung in Ebays Namen auf der inzwischen verschwundenen betrügerischen Bezahlseite

Trügerische Sicherheit: Gefälschte Versicherung in Ebays Namen auf der inzwischen verschwundenen betrügerischen Bezahlseite

Über mindestens zwei Wochen hatten unbekannte Cyber-Kriminelle Adressdaten unterlegener Bieter in Online-Auktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen, und forderten sie zur Zahlung auf.

Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mail-Versandes in den letzten Wochen.

Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.

Späte Reaktion, dann aber zackig

Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der von SPIEGEL ONLINE noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden.

Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen. Nach Veröffentlichung eines Berichtes über die Betrugsmasche bei SPIEGEL ONLINE am Montagabend warnte Ebay seine Kunden per "Marktmitteilung".

Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mail-Welle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."

Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.

Diese Umstellung nahm Ebay bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hacker-Script hinterlegt war, dürfte die aktuelle Betrugs-Mail-Welle der letzten Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Auktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.

Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian im Gespräch mit SPIEGEL ONLINE, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.