Sicherheitslücke Kriminelle können Daten von eBay-Kunden ausspähen

Cyber-Gauner können über präparierte eBay-Auktionen persönliche Details eingeloggter Betrachter abgreifen, ein bloßer Aufruf des Angebots genügt. eBay weiß seit drei Monaten von dem Problem, spricht der Lücke aber "praktische Relevanz" ab – man wehre solche Attacken ab.


Das ging erschreckend schnell: Eben noch hat ein SPIEGEL-ONLINE-Redakteur bei eBay eingeloggt und die scheinbar harmlose Beschreibungsseite eines Artikel betrachtet, eine Minute später konnte er auf einem Server im Internet persönliche Daten aus seinem eBay-Profil nachlesen.

Über das bloße Betrachten der manipulierten Artikelbeschreibung hat die Schadsoftware diese Details ausgespäht:

  • Klarnamen
  • Anschrift
  • E-Mail-Adresse
  • die Passwort-Sicherheitsfrage
  • die Liste aller in seinem eBay-Profil gespeicherten Suchfragen
  • Bankdaten für das Lastschriftverfahren (größtenteils unkenntlich)
  • Kreditkarten-Daten (nur wenige Ziffern)

Besonders fies: Bietet man bei der manipulierten Auktion mit, späht die Schadsoftware das eBay-Passwort aus. Folge: Der eigene Account steht den Hintermännern zur freien, womöglich kriminellen Verfügung. Zum Glück steckte hinter der von SPIEGEL ONLINE getesteten Schnüffel-Auktion die Verbraucherinitiative Falle-Internet. Die Verantwortlichen kommentieren ihre Demonstration der Sicherheitslücke so: "Diese sensiblen Informationen können von Betrügern leicht dazu verwendet werden, den ahnungslosen Opfern gefälschte Angebote zukommen zu lassen."

Mit den über die demonstrierte Lücke abgegriffenen Daten könnten Kriminelle so Geld ergaunern: Sie schicken eBay-Kunden, die eben als Bieter bei einer Auktion verloren haben, eine E-Mail mit einem täuschend echt wirkenden Angebot an den "unterlegenen Bieter". Wenn der Käufer einen Link anklickt und bezahlt, wähnt er sich auf einer eBay-Seite, gibt seine Kreditkartennummer aber tatsächlich auf einem Server der Gangster ab.

Sicherheitslücke riskant, aber kein Desaster

Wegen der demonstrierten Sicherheitslücke in eBay-Panik zu verfallen, ist aber nicht angemessen. Die Sache ist etwas komplizierter. Es wird nicht jede eBay-Auktionsseite zur potentiellen Gefahr, es gibt kein Daten-Desaster durch bloße eBay-Nutzung. In Sicherheit sollte man sich aber nicht wiegen.

Zum Hintergrund: Die Sicherheitslücke entsteht durch eingebettetes Flash in einer Artikelbeschreibung. Sprich: Jedes eBay-Mitglied, auf dessen Rechner ein Flash-Plugin installiert ist (fast jeder Rechner) und JavaScript zugelassen ist, kann zum Opfer solch eines Angriffs werden. Das gibt auch eBay-Sprecherin Maike Fuest zu: "Es ist grundsätzlich möglich, über aktive Inhalte wie Flash und Javascript in Auktionsbeschreibungen Schadsoftware einzuschleusen."

eBay erlaubt nur wenigen Anbietern aktive Inhalte

Warum eBay dann solche aktiven Inhalte nicht in Auktionstexten verbietet? Fuest: "Das würde der eBay-Kultur widersprechen. Wir wollen unseren Verkäufern bei der Gestaltung ihrer Auktionen eine gewisse Gestaltungsfreiheit geben." eBay gehe daher einen anderen Weg, um das Risiko von Schadcode in aktiven Inhalten auszuschließen. Fuest: "Seit September 2005 dürfen nur bestimmte, besonders vertrauenswürdige Mitglieder solche aktiven Inhalte in ihren Artikelbeschreibungen nutzen. Allen anderen ist es nicht möglich, Artikel mit aktiven Inhalten einzustellen."

Die Bedingungen laut eBay:

  • Powerseller-Status oder
  • per Postident geprüfte Identität oder
  • ein verifizierter Paypal-Account oder
  • 500 positive Bewertungen und mehr als 500 Tage eBay-Mitgliedschaft.

Die von SPIEGEL ONLINE getestete manipulierte Auktion wurde tatsächlich von einem Konto mit verfiziertem Paypal-Account eingestellt. Sprich: Die Schutzmaßnahmen, die das Auktionshaus anführt, wurden nicht umgangen - sie greifen derzeit.

Deshalb ist sich eBay auch sicher, so Sprecherin Fuest, mit dieser Filterpolitik "größtmögliche Sicherheit zu garantieren". Die von Falle-Internet demonstrierte Sicherheitslücke habe daher "keine praktische Relevanz für die Plattform. Es ist möglich, solchen Schadcode einzuschleusen, aber es ist eben nur Mitgliedern möglich, die so etwas nicht tun würden."

Markus Schwinn, Webmaster von Falle-Internet widerspricht: "Natürlich ist diese Sicherheitslücke nicht nur eine theoretische, sondern eine handfeste Gefahr. Warum sollten Kriminelle nicht eBay-Accounts übernehmen, die solche Kriterien erfüllen?"

eBay-Sprecherin Fuest bestreitet nicht, dass manchmal eBay-Accounts argloser Mitglieder durch Software-Angriffe von Kriminellen übernommen werden: "Ja, es gibt solche Fälle. Aber wir erkennen solchen Missbrauch in mehr als 95 Prozent aller Fälle, bevor ein Schaden entsteht." Und wie kommen die Cyber-Kriminellen an die Account-Daten? Gibt es Lücken in den eBay-Datenbanken? Sprecherin Fuest: "Nein. Solche Daten werden durch die Versendung gefälschter E-Mails, die beispielsweise einen Trojaner enthalten oder auch durch das Erraten von Passwörtern abgegriffen."

Sicherheitslücke seit Monaten bekannt

eBay vertraut darauf, dass nur seriöse Anbieter aktive Inhalte in Artikelbeschreibungen einstellen können. Das erklärt vielleicht, warum sich die Gespräche mit Falle-Internet so lange hingezogen haben. Markus Schwinn, Webmaster von Falle-Internet, erklärt: "Am 7. Dezember haben wir in einer E-Mail an eBay die Sicherheitslücke genau dokumentiert und Lösungsvorschläge zur Beseitigung unterbreitet."

In dem SPIEGEL ONLINE vorliegenden Schreiben beschreibt Falle-Internet in der Tat detailliert die Methode, mit der eine Flash-Animation in der Artikelbeschreibung private Daten der Kaufinteressenten unbemerkt abruft. Auf diese E-Mail reagierte ein eBay-Mitarbeiter, bedankte sich für die "übermittelten Informationen" und bot an, die Arbeit der bei Falle-Internet beteiligten Personen auf ein "strafrechtlich sauberes Fundament zu stellen". Der eBay-Mitarbeiter verwies auf "strafrechtliche Konsequenzen", die sich möglicherweise aus "§ 202c Abs. 1 Nr. 2 StGB ergeben" könnten. Das ist der sogenannte Hacker-Paragraph.

Eine Drohung? Keinesfalls, stellt eBay-Sprecherin Fuest klar: "Natürlich müssen wir darauf hinweisen, dass der Einsatz von Schadsoftware auf unserer Plattform strafrechtliche Konsequenzen haben kann. Aber wir haben kein Interesse daran, eine Gruppe wie Falle-Internet zu kriminalisieren, wir sind an einer guten Zusammenarbeit interessiert."

Konkrete Ergebnisse hatte die Zusammenarbeit bislang nicht. Markus Schwinn von Falle-Internet erklärt: "Es gab am 17. Dezember ein Treffen in der eBay-Zentrale." Danach habe man Anfang Januar noch einmal mit eBay telefoniert. Aber, so Schwinn: "Die Sicherheitslücke besteht immer noch. Es sind jetzt drei Monate vergangen und nichts ist passiert. Deshalb gehen wir an die Öffentlichkeit."

insgesamt 667 Beiträge
Alle Kommentare öffnen
Seite 1
Scaithy, 11.05.2007
1.
Woran eBay meiner Meinung nach krankt, ist das Bewertungssystem. Bewertungen sind Handelswaren nach dem Motto: Bewertest Du mich gut, bewerte ich Dich auch gut. Oder halt umgekehrt. Deswegen traut sich kaum jemand, schlechte Bewertungen abzugeben aus Angst vor einer schlechten Gegenbewertung. Und leider ist es auch so, dass regelmässig vom Käufer zuerst eine Bewertung erwartet wird, bevor der Verkäufer bewertet. Eigentlich unlogisch, wenn man bedenkt, dass der Käufer ja zuerst seine Leistung erbracht hat. Auch dass eBay grundsätzlich keine Bewertungen löscht, selbst wenn man nachweisen könnte, dass sie falsch sind, halte ich für eine Schwäche. Hier muss eBay dringend noch etwas tun, um an der Glaubwürdigkeit der Bewertungen zu arbeiten. Insgesamt ist die Plattform für mich uninteressanter geworden, seit vermehrt Händler auf eBay verkaufen.
Klo, 11.05.2007
2.
Zitat von ScaithyWoran eBay meiner Meinung nach krankt, ist das Bewertungssystem. Bewertungen sind Handelswaren nach dem Motto: Bewertest Du mich gut, bewerte ich Dich auch gut. Oder halt umgekehrt. Deswegen traut sich kaum jemand, schlechte Bewertungen abzugeben aus Angst vor einer schlechten Gegenbewertung. Und leider ist es auch so, dass regelmässig vom Käufer zuerst eine Bewertung erwartet wird, bevor der Verkäufer bewertet. Eigentlich unlogisch, wenn man bedenkt, dass der Käufer ja zuerst seine Leistung erbracht hat. Auch dass eBay grundsätzlich keine Bewertungen löscht, selbst wenn man nachweisen könnte, dass sie falsch sind, halte ich für eine Schwäche. Hier muss eBay dringend noch etwas tun, um an der Glaubwürdigkeit der Bewertungen zu arbeiten. Insgesamt ist die Plattform für mich uninteressanter geworden, seit vermehrt Händler auf eBay verkaufen.
Dem stimme ich zu. Rachebewertungen gibt es immer wieder, selbst wenn ein bezahlter Artikel nie abgeschickt wurde und versicherter Versand vereinbart wurde. Dies sollte bestraft werden als Bewertungsmißbrauch.
donemile, 11.05.2007
3. Ebay ist gut
Als erfahrener Nutzer von Ebay, ich bin seit 1999 dabei, würde ich sagen im Allgemeinen nicht schlecht. Verbesserungen sind immer möglich. Werden auch durchgeführt. Wenns nicht für die Leute nützlich wäre, hätte es mit Sicherheit nicht so einen Erfolg und das schon über Jahre.
Heulboje, 11.05.2007
4. Naja
Als ich damals mit ebay anfing war ich restlos begeistert. Mittlerweile hab ich das Gefühl, es sind viel mehr Händler unterwegs und viel weniger Privatmenschen. Oder täuscht mich da was? Zumindest in meinen Lieblingsbereichen haeb ich schon den Eindruck.
**Kiki** 11.05.2007
5.
Zitat von HeulbojeAls ich damals mit ebay anfing war ich restlos begeistert. Mittlerweile hab ich das Gefühl, es sind viel mehr Händler unterwegs und viel weniger Privatmenschen. Oder täuscht mich da was? Zumindest in meinen Lieblingsbereichen haeb ich schon den Eindruck.
Mein Eindruck ist auch, daß der Anteil der Privatverkäufer immer weiter abnimmt, aber das wundert mich auch nicht. Für Privatverkäufer lohnt sich die Sache schon seit der vorletzten Gebührenerhöhung nicht mehr. Ich habe Anfang des Jahres bei der letzten Aktion mit reduzierten Einstellgebühren ein paar Sachen eingestellt, aber wenn ich den Zeitaufwand für das Einstellen, Beantworten von Mails, Sendungen fertigmachen, Konto im Auge behalten, den Krempel zur Post bringen und am Ende Bewerten mit dem Betrag in Relation setze, der am Ende nach Abzug der gesalzenen Gebühren rübergekommen ist: Das hätte ich mir im Grunde auch sparen können. Leider taugen die kostenlosen Konkurrenzplattformen allerdings noch weniger. Schade drum. Ich war übrigens eBay-Mitglied schon zu Zeiten, als es noch Alando hieß. Ja, ja, die gute alte Zeit ...
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.