Passwort-Klau bei eBay-Kunden in den USA

Hunderte eBay-Kunden in den USA wurden in den letzten Monaten Opfer gezielter Angriffe. Wie Unternehmens-Sprecher Kevin Pursglove bestätigte, verschafften sich die Betrüger Zugang zu fremden eBay-Accounts und änderten die Passwörter, sodass der eigentliche Inhaber nicht mehr darüber verfügen konnte. Die Betrüger starteten dann Versteigerungen hochwertiger Produkte, ließen sich das Geld überweisen und meldeten sich nie wieder.

Weil die Betrüger gezielt Accounts mit vielen positiven Bewertungen knackten, wähnten sich die Käufer in Sicherheit und zahlten per Vorkasse. Ein Sicherheitsmangel des eBay-Systems erleichterte den Betrug: Beim Login können beliebig oft falsche Passwörter eingegeben werden, ohne dass der Account -- wie bei anderen Zugangssystemen üblich -- gesperrt wird.

Der Sprecher von eBay Deutschland, Joachim Guentert, räumte ein, dass die Sicherheit der Passwortabfrage "verbesserungswürdig" sei. Man arbeite bereits an einer Lösung. Guentert empfahl den Kunden des Auktionshauses, sorgfältig mit ihrem Passwort umzugehen. Es sollte mindestens acht Zeichen lang sein, Zahlen und Buchstaben enthalten und nirgends aufgeschrieben sein.

Im Falle eines Passwort-Diebstahls bleibt eBay-Kunden nichts anderes übrig, als eine E-Mail an die Adresse info@ebay.de zu schicken -- eine telefonische Hotline betreibt das Auktionshaus nicht.


Gruß    
Happy End
 

Hacker: Gigantische Sicherheitslücke in Ebay

Alle Anbieter und Käufer gefährdet

27.09.2004 11:36 | von silicon.de

In der größten Versteigerungsplattform der Welt, Ebay, klafft offenbar eine "gigantische" Sicherheitslücke. Das Problem ist nach einem Spiegel-Bericht bereits seit über einem Jahr bei Ebay bekannt, bislang hätten die Betreiber des Online-Auktionshauses jedoch nicht reagiert. Eine einfache Methode ermöglicht den Klau von Namen und Passwörtern der Bieter, berichtet das Blatt und beruft sich dabei auf Informationen eines Computerspezialisten aus Hannover.

Der Hacker demonstrierte, wie es ihm mehrfach gelang, erfolgreich Passwörter abzugreifen. Dabei stellten die Passwortdiebe ein attraktives Angebot auf die Seite, dass möglichst viele Bieter anlockt. Gleichzeitig werde auf die Angebotsseite ein Spionageprogramm geschleust, das Namen und Passwörter aller Bieter an die Datenschnüffler weiterleitet. Diese könnten dann nach Belieben auf Kosten ihrer Opfer einkaufen oder deren Waren auf eigene Rechnung verkaufen, heißt es in dem Bericht. Kein Online-Anbieter könne sich vor solchen Zwischenfällen schützen.

Der Computerspezialist hat Ebay nach eigenen Angaben bereits vor über einem Jahr auf die Sicherheitslücke hingewiesen. Gegen Geld wollte er weitere Details offen legen. Als Beweis für die Existenz des Problems hatte Ebay daraufhin 1000 Kundendatensätze gefordert. Dies sei jedoch ein "abwegiger Vorschlag", da dies gegen den Datenschutz verstoßen würde, so der Hannoveraner. Der Kontakt war daraufhin abgebrochen. Inzwischen hat Ebay eingelenkt und sagte gegenüber dem Spiegel, man nehme den Datenschutz sehr ernst. Ab dieser Woche wollen der Hacker und der Weltkonzern erneut verhandeln.

***

PS 27.03.02 22:25: "Der Sprecher von eBay Deutschland, Joachim Guentert, räumte ein, dass die Sicherheit der Passwortabfrage 'verbesserungswürdig' sei. Man arbeite bereits an einer Lösung. 27.03.02!!! Oops!