Ebay und die Sicherheitslücken

"Kriminelle können sich Zugang zu den Daten von Ebay-Mitgliedern verschaffen", hieß es in einer Nachricht der Verbraucherschutzgruppe "Falle Internet". Demnach reicht der Aufruf einer per Flash-Animation präparierten Angebotsseite aus, um Opfer eines Angriffs zu werden. Name und Anschrift, Mailadresse und Angaben zu gekauften Artikeln und Waren, auf die ein Gebot abgegeben wurde, selbst die Passwort-Sicherheitsabfrage - alles was in der Ansicht "Mein Ebay" zu sehen ist, lässt sich heimlich auslesen. Dazu schickt eine Schad-Software das Log-in-Cookie des Nutzers an die Betrüger.

Ein derartiges Ausspionieren der Anwender ist nicht nur ein gravierender Eingriff in die Privatsphäre des Ebay-Nutzers, sondern lässt sich auch für betrügerische Angebote an Ebay vorbei nutzen - etwa im Bereich "Second-Chance"-Angebote, die ein Mitglied nach Ablauf einer Auktion an unterlegene Bieter verschicken kann, wenn ein Geschäft aus irgendeinem Grunde nicht zustande kam.

Die Sicherheitslücke basiert auf Javascript und Flash-Technologie. Ebay erlaubt das Einbinden und Ausführen von Programmen auf den Angebotsseiten - ein unkalkulierbares Risiko für die Kunden ebenso wie für das Auktionshaus. Denn über diese Techniken lassen sich weit reichende Funktionen ausführen - ohne Zutun des Anwenders und ohne dass dieser es überhaupt mitbekommt. Doch das Auktionshaus hält sich in vielen Fällen heraus - "wir sind nur der Marktplatz und stellen die Plattform" heißt es -, und viele Kunden haben nicht das technische Know-how, um den Betrug lückenlos zu dokumentieren und zu erklären.

Ebay wiegelt auch im jüngst aufgedeckten Fall ab: "Der Einsatz solcher Schad-Software hatte und hat keine praktische Relevanz." Man gibt aber gleichzeitig zu, dass Routinen auf Flash- oder Javascript-Basis sehr wohl in der Lage sind, Schäden anzurichten oder Nutzer auszuspionieren. Immerhin ist inzwischen bei Ebay.de der Einsatz solcher Techniken an einige Kriterien geknüpft - die sich allerdings mit etwas krimineller Energie umgehen lassen, zumal diese Beschränkungen zwar für Deutschland, nicht aber für ausländische Ebay-Plattformen gelten.

Das Einschleusen fremden Codes mit dem Ziel, persönliche Anwenderdaten zu erschleichen, ist unter dem Begriff Cross-Site-Scripting (XSS) schon seit Jahren bekannt - auch die PC-WELT hatte bereits mehrfach darüber berichtet. Zwar stopft Ebay stets innerhalb weniger Stunden oder Tage derartige Sicherheitslöcher, wenn sie in den Medien auftauchen. Auf Hinweise einzelner Anwender wird jedoch eher halbherzig reagiert. So berichtet "Falle Internet", man habe bereits 2007 mit Ebay wegen der aktuellen Lücke Kontakt aufgenommen, doch passiert sei bislang nichts. Laut der Ebay-Pressestelle will man auch in Zukunft nicht auf die Möglichkeiten verzichten, die Flash und Javascript bei der Angebotsgestaltung bieten. (PC-Welt/mja)