Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

eBay-Sicherheitsloch: Wie ein Träumer das Bewertungssystem aushebelte

Von

Im Bewertungssystem von eBay klafft eine Sicherheitslücke. Obwohl sie mehrfach darauf hingewiesen wurde, blieb die Online-Börse monatelang tatenlos. Derweil verhökern jecke Hacker Selbstgemaltes für zehn Millionen Euro an einen gewissen Gerhard Schröder. Nichts ist unmöglich.

eBay-Cracker Ralph Napierski: Müheloses Spiel mit wechselnden Identitäten
Hilmar Schmundt

eBay-Cracker Ralph Napierski: Müheloses Spiel mit wechselnden Identitäten

Karneval auf dem Internet-Flohmarkt eBay: Ein gewisser Gerhard Schröder aus Berlin, wohnhaft im Kanzleramt, leistet sich auf dem globalen Internetflohmarkt namens eBay ein erbittertes Bietergefecht mit vier anderen Teilnehmern. Der eine bietet sieben Millionen Euro, der andere kontert mit neun Millionen. Schließlich geht der Zuschlag an Herrn Schröder. Für 10 Millionen Euro bekommt er einen "echten Napierski" - ein kleines Digitalbildchen im Briefmarkenformat.

Die Versteigerung mit der Nummer 3309672566, die Anfang des Monats abgeschlossen wurde, dürfte eine der teuersten Transaktionen sein, die je über eBay abgewickelt worden ist. Wenn die Bieter denn reale Personen wären.

Die Versteigerung fand zwar wirklich statt, doch Bieter und Anbieter waren nur trügerische Scheinidentitäten, ihre Wohnorte erstunken, ihre Kontoverbindungen erlogen. Die Mitglieder mit Namen wie bk-g-schroeder, yabe-hacker, tgroeber123 oder peter18001 sind digitale Karnevalsmasken, hinter denen ein einziger Scherzbold steckt.

Ähnliches geschah auch vor einem Jahr, als in der "Käsebrötchen-Affäre" eine vertrocknete Semmel für ebenfalls zehn Millionen Euro auf eBay versteigert wurde. Doch die damalige Spaß-Auktion wurde auch von eBay selbst als werbewirksame Aktion verstanden und behandelt. Damals waren die Bieter und Versteigerer namentlich bekannt - alles hatte formal also seine Ordnung. Diesmal dagegen blieb der Maskierte anonym - bis er sich bei SPIEGEL ONLINE meldete.

Gratuliere, Kanzler: Zu Demonstrationszwecken versteigerte Napierski Selbstgemaltes für 10 Millionen an "bk_g_schroeder" - sich selbst

Gratuliere, Kanzler: Zu Demonstrationszwecken versteigerte Napierski Selbstgemaltes für 10 Millionen an "bk_g_schroeder" - sich selbst

Die eBay-Währung: Vertrauen

Sein gespenstischer Zehn-Millionen-Deal dürfte viele der über 50 Millionen eBay-Marktteilnehmer weltweit verunsichern. Denn die Modem-Maskerade droht, das Fundament der Tauschbörse zu erschüttern: das gegenseitige Vertrauen.

"Wir glauben, dass die Menschen gut sind", heißt der erste Glaubenssatz der Tauschbörse - und ohne ihn würde das System zusammenbrechen. Denn die eBay-Kunden leben weltweit verstreut und kennen zunächst weder den wahren Namen noch die Stimme noch den Wohnort ihrer zukünftigen Geschäftspartner.

Diese Anonymität lockt Betrüger an. Um die schwarzen Schafe leichter zu erkennen und auszusortieren, gibt es das "Bewertungssystem": der Höchstbietende und der Anbieter bewerten sich nach erfolgtem Geschäft gegenseitig. Wer über hundert positive Bewertungen hat, gilt als vertrauenswürdig.

"Gute Bewertungen sind bares Geld wert", sagt Marion von Kuczkowski, Autorin des Buches "Powerseller mit eBay". Weltweit gibt es über 150.000 eBay-Profis, die vom Verkauf ihrer Waren im Internet leben. Ein gutes Bewertungsprofil ist für sie die Existenzgrundlage.

Und es ist tatsächlich bares Geld wert, wie der Soziologe Andreas Diekmann von der Universität Bern anhand der Onlinebörse Ricardo nachgewiesen hat: "Im Schnitt ist eine gute Bewertung rund 70 Cent wert, denn die Käufer sind bereit, höher zu bieten, wenn sie Vertrauen haben", sagt Diekmann. Wenn allerdings diese Glaubwürdigkeitswährung nachhaltig unterhöhlt werde, könne ein Online-Marktplatz kollabieren, warnt der Forscher.

Homepage: Schillernde Gestalt

Homepage: Schillernde Gestalt

Der Cracker: eBay, frei manipuliert

"Ich könnte mir durch Fantasie-Versteigerungen in wenigen Tagen ein Traumprofil mit tausend positiven Bewertungen selber zusammenbasteln", sagt Ralph Napierski, während er seine Digitalpuppen tanzen lässt: Er bietet, meldet sich ab, meldet sich mit einem anderen Namen an, überbietet sich selbst und so weiter. Und am Ende bewertet er seine zwei Strohmänner gegenseitig, natürlich positiv.

"Ich könnte mit meinen Accounts jede beliebige Auktion stören und den Handel zum Erliegen bringen", sagt Napierski und nippt genüsslich an einem Pappbecher mit heißer Schokolade, "ich könnte Leute, die ich nicht mag, mit schlechten Bewertungen bombardieren." Sein Gesicht wirkt jugendlich, viel jünger als seine 31 Jahre. Gemäß der derzeitigen Jugendmode trägt er sein Haar nach hinten gegelt, sein Handy lässig an die Außenseite seiner Hosentasche gehängt.

eBay-Routine: Warnungen verpuffen

"Sehr geehrtes eBay", schrieb Napierski schon am 14. Oktober 2002 an die Sicherheitsabteilung des Unternehmens, "ich habe eBay gehackt."

Er wurde mit einer automatischen Standardmail abgefertigt.

Diesen Artikel...

© SPIEGEL ONLINE 2003
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: