Nutzernamen im Netz EBay stopft wieder mal ein Datenleck

Millionen von eBay-Pseudonymen standen samt zugehöriger Klarnamen offen zugänglich im Netz. Erst als Privatleute eBay auf das Datenleck hinwiesen, stopfte das Online-Auktionshaus die Sicherheitslücke.


Bis heute Mittag konnte jedermann auf den Servern des E-Mail-Dienstleisters Emarsys AG personalisierte Nachrichten von eBay an seine Kunden abrufen. Die Botschaften enthielten den eBay-Namen, Bewertungspunkte und auch die echten Vor- und Nachnamen der angeschriebenen Kunden. Von "Millionen von eBay-Identitäten" spricht die private Initiative "Falle Internet", die den Fehler entdeckt hat.

eBay-Welt: Namen von eBay-Kunden ungeschützt im Web
AP

eBay-Welt: Namen von eBay-Kunden ungeschützt im Web

Die personalisierten HTML-Nachrichten sind für alle Nutzer gedacht, die speziell formattierte HTML-Nachrichten nicht in ihrem E-Mail-Programm betrachten könnten. Sie klicken auf einen Link und kommen auf eine Web-Version ihrer E-Mail.

Das Problem dabei: Die dafür in den E-Mails verwendeten Links waren frei abrufbar. Wer die Ziffern- und Buchstabenfolgen in den URLs variierte, konnte unter Umständen personalisierte Nachrichten für andere Nutzer abrufen.

Denkbarer Missbrauch: Ein Programm variiert fortlaufend die URLs und speichert bei erfolgreichen Abrufen eBay-Pseudonyme und dazugehörige Klarnamen. "Falle Internet" schreibt im Weblog der Initiative: "Unseriöse Datensammler und Versender von Phishing-E-Mails könnten so in wenigen Stunden hunderttausende Datensätze abgreifen."

Nachdem "Falle Internet" eBay auf das Problem hingewiesen hat, wurde offensichtlich die Sicherung der Daten verbessert. Im Blog der Initiative heißt es in einem Nachtrag, beim Versuch, Newsletter aus dem oben beschriebenen Bereich abzurufen, werde "inzwischen eine Fehlermeldung angezeigt".

Besonders peinlich dabei: In den von "Falle Internet" abgerufenen Werbe-E-Mails betont eBay, "Ihr Vor- und Nachname in dieser Mitteilung sind ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt." Denn die kennen Versender von Phishing- oder Spam-Nachrichten normalerweise nicht.

Ohne E-Mail-Adresse kein Geschäft

Sollte ein Krimineller diese Sicherheitslücke ausgenutzt haben, genügen die so abegriffenen Daten allerdings nicht ohne weiteres für Phishing-Mails oder andere Versuche, arglosen Web-Nutzern Kreditkartendaten oder eBay-Passwörter zu entlocken. Dazu bräuchten Kriminelle noch die zu den eBay- und Klarnamen passenden E-Mail-Adressen. Erst mit diesen könnten Sie täuschend echte eBay-Nachrichten verschicken und Nutzer zum Beispiel dazu auffordern, ihre Kreditkartennummer auf einer bestimmten, präparierten Website zu bestätigten. Ohne E-Mail-Adressen wird aus eBays Datenleck kein Geschäft.

lis



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.