Sicherheitslücke Kriminelle können Daten von eBay-Kunden ausspähen

Cyber-Gauner können über präparierte eBay-Auktionen persönliche Details eingeloggter Betrachter abgreifen, ein bloßer Aufruf des Angebots genügt. eBay weiß seit drei Monaten von dem Problem, spricht der Lücke aber "praktische Relevanz" ab – man wehre solche Attacken ab.

Das ging erschreckend schnell: Eben noch hat ein SPIEGEL-ONLINE-Redakteur bei eBay eingeloggt und die scheinbar harmlose Beschreibungsseite eines Artikel betrachtet, eine Minute später konnte er auf einem Server im Internet persönliche Daten aus seinem eBay-Profil nachlesen.

Über das bloße Betrachten der manipulierten Artikelbeschreibung hat die Schadsoftware diese Details ausgespäht:

  • Klarnamen
  • Anschrift
  • E-Mail-Adresse
  • die Passwort-Sicherheitsfrage
  • die Liste aller in seinem eBay-Profil gespeicherten Suchfragen
  • Bankdaten für das Lastschriftverfahren (größtenteils unkenntlich)
  • Kreditkarten-Daten (nur wenige Ziffern)

Besonders fies: Bietet man bei der manipulierten Auktion mit, späht die Schadsoftware das eBay-Passwort aus. Folge: Der eigene Account steht den Hintermännern zur freien, womöglich kriminellen Verfügung. Zum Glück steckte hinter der von SPIEGEL ONLINE getesteten Schnüffel-Auktion die Verbraucherinitiative Falle-Internet . Die Verantwortlichen kommentieren  ihre Demonstration der Sicherheitslücke so: "Diese sensiblen Informationen können von Betrügern leicht dazu verwendet werden, den ahnungslosen Opfern gefälschte Angebote zukommen zu lassen."

Mit den über die demonstrierte Lücke abgegriffenen Daten könnten Kriminelle so Geld ergaunern: Sie schicken eBay-Kunden, die eben als Bieter bei einer Auktion verloren haben, eine E-Mail mit einem täuschend echt wirkenden Angebot an den "unterlegenen Bieter". Wenn der Käufer einen Link anklickt und bezahlt, wähnt er sich auf einer eBay-Seite, gibt seine Kreditkartennummer aber tatsächlich auf einem Server der Gangster ab.

Sicherheitslücke riskant, aber kein Desaster

Wegen der demonstrierten Sicherheitslücke in eBay-Panik zu verfallen, ist aber nicht angemessen. Die Sache ist etwas komplizierter. Es wird nicht jede eBay-Auktionsseite zur potentiellen Gefahr, es gibt kein Daten-Desaster durch bloße eBay-Nutzung. In Sicherheit sollte man sich aber nicht wiegen.

Zum Hintergrund: Die Sicherheitslücke entsteht durch eingebettetes Flash in einer Artikelbeschreibung. Sprich: Jedes eBay-Mitglied, auf dessen Rechner ein Flash-Plugin installiert ist (fast jeder Rechner) und JavaScript zugelassen ist, kann zum Opfer solch eines Angriffs werden. Das gibt auch eBay-Sprecherin Maike Fuest zu: "Es ist grundsätzlich möglich, über aktive Inhalte wie Flash und Javascript in Auktionsbeschreibungen Schadsoftware einzuschleusen."

eBay erlaubt nur wenigen Anbietern aktive Inhalte

Warum eBay dann solche aktiven Inhalte nicht in Auktionstexten verbietet? Fuest: "Das würde der eBay-Kultur widersprechen. Wir wollen unseren Verkäufern bei der Gestaltung ihrer Auktionen eine gewisse Gestaltungsfreiheit geben." eBay gehe daher einen anderen Weg, um das Risiko von Schadcode in aktiven Inhalten auszuschließen. Fuest: "Seit September 2005 dürfen nur bestimmte, besonders vertrauenswürdige Mitglieder solche aktiven Inhalte in ihren Artikelbeschreibungen nutzen. Allen anderen ist es nicht möglich, Artikel mit aktiven Inhalten einzustellen."

Die Bedingungen laut eBay:

  • Powerseller-Status oder
  • per Postident geprüfte Identität oder
  • ein verifizierter Paypal-Account oder
  • 500 positive Bewertungen und mehr als 500 Tage eBay-Mitgliedschaft.

Die von SPIEGEL ONLINE getestete manipulierte Auktion wurde tatsächlich von einem Konto mit verfiziertem Paypal-Account eingestellt. Sprich: Die Schutzmaßnahmen, die das Auktionshaus anführt, wurden nicht umgangen - sie greifen derzeit.

Deshalb ist sich eBay auch sicher, so Sprecherin Fuest, mit dieser Filterpolitik "größtmögliche Sicherheit zu garantieren". Die von Falle-Internet demonstrierte Sicherheitslücke habe daher "keine praktische Relevanz für die Plattform. Es ist möglich, solchen Schadcode einzuschleusen, aber es ist eben nur Mitgliedern möglich, die so etwas nicht tun würden."

Markus Schwinn, Webmaster von Falle-Internet widerspricht: "Natürlich ist diese Sicherheitslücke nicht nur eine theoretische, sondern eine handfeste Gefahr. Warum sollten Kriminelle nicht eBay-Accounts übernehmen, die solche Kriterien erfüllen?"

eBay-Sprecherin Fuest bestreitet nicht, dass manchmal eBay-Accounts argloser Mitglieder durch Software-Angriffe von Kriminellen übernommen werden: "Ja, es gibt solche Fälle. Aber wir erkennen solchen Missbrauch in mehr als 95 Prozent aller Fälle, bevor ein Schaden entsteht." Und wie kommen die Cyber-Kriminellen an die Account-Daten? Gibt es Lücken in den eBay-Datenbanken? Sprecherin Fuest: "Nein. Solche Daten werden durch die Versendung gefälschter E-Mails, die beispielsweise einen Trojaner enthalten oder auch durch das Erraten von Passwörtern abgegriffen."

Sicherheitslücke seit Monaten bekannt

eBay vertraut darauf, dass nur seriöse Anbieter aktive Inhalte in Artikelbeschreibungen einstellen können. Das erklärt vielleicht, warum sich die Gespräche mit Falle-Internet so lange hingezogen haben. Markus Schwinn, Webmaster von Falle-Internet, erklärt: "Am 7. Dezember haben wir in einer E-Mail an eBay die Sicherheitslücke genau dokumentiert und Lösungsvorschläge zur Beseitigung unterbreitet."

In dem SPIEGEL ONLINE vorliegenden Schreiben beschreibt Falle-Internet in der Tat detailliert die Methode, mit der eine Flash-Animation in der Artikelbeschreibung private Daten der Kaufinteressenten unbemerkt abruft. Auf diese E-Mail reagierte ein eBay-Mitarbeiter, bedankte sich für die "übermittelten Informationen" und bot an, die Arbeit der bei Falle-Internet beteiligten Personen auf ein "strafrechtlich sauberes Fundament zu stellen". Der eBay-Mitarbeiter verwies auf "strafrechtliche Konsequenzen", die sich möglicherweise aus "§ 202c Abs. 1 Nr. 2 StGB ergeben" könnten. Das ist der sogenannte Hacker-Paragraph.

Eine Drohung? Keinesfalls, stellt eBay-Sprecherin Fuest klar: "Natürlich müssen wir darauf hinweisen, dass der Einsatz von Schadsoftware auf unserer Plattform strafrechtliche Konsequenzen haben kann. Aber wir haben kein Interesse daran, eine Gruppe wie Falle-Internet zu kriminalisieren, wir sind an einer guten Zusammenarbeit interessiert."

Konkrete Ergebnisse hatte die Zusammenarbeit bislang nicht. Markus Schwinn von Falle-Internet erklärt: "Es gab am 17. Dezember ein Treffen in der eBay-Zentrale." Danach habe man Anfang Januar noch einmal mit eBay telefoniert. Aber, so Schwinn: "Die Sicherheitslücke besteht immer noch. Es sind jetzt drei Monate vergangen und nichts ist passiert. Deshalb gehen wir an die Öffentlichkeit."

Verwandte Artikel
Die Wiedergabe wurde unterbrochen.