Das Online-Auktionshaus
eBay zieht auch in Deutschland zahlreiche Kaufwütige in seinen Bann. Munter wird nach dem Motto "Drei, Zwei, Eins... Meins" alles nur Denkbare gehandelt und gekauft. Doch nur wenige machen sich Gedanken um die Sicherheit ihrer persönlichen Daten, die laut einem Bericht der Internet-Aktivistengruppe
"Falle Internet" über preparierte Auktionsseiten in die Hände von Kriminellen gelangen können.
Flash und Javascript-Nutzung
Alleine das Aufrufen einer eBay-Verkaufsauktion, die mit Flash oder Javascript optisch aufgewertet wurde, kann ausreichen, um schädlichen Code ohne Wissen des Nutzern auf den Rechner zu spielen. Von eingeloggten eBay-Usern erhalten die Cyberkriminellen dann Name, Anschrift, E-Mail-Adresse, Handelsaktivitäten, persönliche Nachrichten und weitere Informationen. Laut "Falle Internet" kann das sogenannte Cross-Site-Scripting (XSS) mit Hilfe einer Flash-Animation die persönlichen Daten, die unter "Mein eBay" gespeichert sind, für fremde Augen offenlegen. Im Test an einer Beispielauktion konnte die Aktivistengruppe Daten des eBay-Nutzers auslesen, ohne dass dieser etwas davon bemerkte.
eBay sieht Gefahr als praktisch nicht relevant an
Auf diese Vorwürfe reagierte das Auktionshaus eBay mit einer Stellungnahme, die die verunsicherten Kunden beruhigen soll. Laut eBay hatte und hat die Sicherheitslücke keine praktische Relevanz auf dem elektronischen Marktplatz. Seit September 2005 sei die Nutzung von Technologien wie Flash und Javascript an bestimmte Kriterien geknüft. Nur ebay-Verkäufer, die Teilnehmer des PowerSeller-Programms, "Geprüftes Mitglied", verifiziertes PayPal-Mitglied oder länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte erhalten haben, können ihre Seiten mit den zusätzlichen Techniken aufwerten. Es sei nahezu ausgeschlossen, dass solche Mitglieder eBay missbräuchlich verwenden. eBay setze allerdings auch noch zusätzliche Technologien ein, um Schadsoftware zu erkennen. Mit den Mitgliedern von "Falle Internet" wolle eBay zusammenarbeiten und sehe von einer Verfolgung der strafrechtlich relevanten Nutzung von Schadsoftware durch die Aktivistengruppe ab.
Sicherheitslücke bleibt bestehen
Diese wirft eBay stattdessen jedoch als Reaktion auf die Stellungnahme eine Bagatellisierung des Problems vor. Denn jeden Tag würden gehackte Accountdaten mit genau diesen Kriterien in die Hände von Kriminellen gelangen. Ein einziges übernommenes Mitgliedskonto reiche aus, um an die Datensätze von hunderten eBay-Nutzern zu gelangen. Zudem sei in vielen Ländern, auch in den USA, keinerlei Beschränkungen für die Nutzung von Javascript oder Flash vorgesehen. Dortige Händler könnten ihre Auktionen aber auch weltweit anbieten. "Falle Internet" kritisiert mangelndes Handlungsvermögen von eBay, da das Auktionshaus die Sicherheitslücke nicht schließe.
Meldung empfehlen
News
