AUS DEM SPIEGEL
Ausgabe 40/2004

Sicherheitslücke beim Internet-Auktionshaus Ebay


Drei, zwei, eins, meins - dieser Werbespruch des Online-Marktplatzes Ebay taugt auch als Motto von Passwortdieben. Denn seit über einem Jahr klafft offenbar eine gigantische Sicherheitslücke in der mit 48 Millionen aktiven Mitgliedern größten Versteigerungsplattform der Welt. Die Methode ist einfach, aber effizient und für die Opfer nicht zu erkennen:Die Passwortdiebe bieten ein attraktives Angebot feil, das möglichst viele Bieter anlockt. Gleichzeitig schleusen sie ein Spionageprogramm auf die Angebotsseite, welches Namen und Passwort aller Bieter an die Datenschnüffler weiterleitet. Diese könnten nun nach Belieben auf Kosten ihrer Opfer einkaufen oder deren Waren auf eigene Rechnung verkaufen. "Jeder halbwegs clevere 12-Jährige könnte diesen Code auf die Ebay-Seiten schleusen", warnt der Computerspezialist Björn N. aus Hannover, der sein System dem SPIEGEL vorführte, indem er mehrfach erfolgreich Passwörter abgriff. Kein Online-Anbieter ist völlig gefeit vor derlei Zwischenfällen. Empört ist der Hacker jedoch über das Verhalten von Ebay: Schon vor mehr als einem Jahr informierte er das Unternehmen über die Lücke und forderte Geld für Details. In einem Fax vom 20. Juni 2003 forderte Ebay ihn daraufhin auf, "Belege für die Existenz der von Ihnen behaupteten Sicherheitslücke" vorzulegen; er möge bitte "1000 Datensätze (Nutzername, Vorname, Name, Anschrift, Geburtsdatum und Passwort) übersenden". Ein abwegiger Vorschlag:Ohne Einwilligung der betroffenen User wäre diese Datenbeschaffung ein Verstoß gegen den Datenschutz. Björn N. weigerte sich daher. Der Kontakt brach ab, die Sicherheitslücke blieb. "Unsere Formulierung damals war wohl missverständlich", räumt Nerses Chopurian von Ebay ein: "Wir nehmen den Datenschutz sehr ernst." Ab Montag wollen der Hacker und der Weltkonzern erneut verhandeln.



© DER SPIEGEL 40/2004
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.