Datenraub Ebay stopft Sicherheitsleck

Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen E-Mails überhäuft. Die Adressen fischten die Kriminellen aus den Datenbanken des Unternehmens. Jetzt ist diese gravierende Sicherheitslücke gestopft.

Hamburg - Über mindestens zwei Wochen hatten unbekannte Cyberkriminelle Adressdaten unterlegender Bieter in Onlineauktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen und forderten sie zur Zahlung auf. Nun hat Ebay  das Sicherheitsleck eigenen Angaben zufolge geschlossen.

Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mailversandes in den vergangenen Wochen.

Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.

Alles gelöscht

Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden. Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen.

Am Montagabend warnte Ebay seine Kunden per "Marktmitteilung". Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mailwelle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."

Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.

"Das Problem wird gelöst"

"Das Problem wird gelöst"

Diese Umstellung nahm Ebay  bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hackerscript hinterlegt war, dürfte die aktuelle Betrugs-Mailwelle der vergangenen Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Aktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.

Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."

Das Problem des Betruges in Auktionen ist mit technischen Mitteln aber nicht zu lösen: Der derzeit stärkste Betrugstrend bei Ebay täuscht zögerlichen Kunden bei hochpreisigen Versteigerungen besondere Sicherheit vor, indem ein Treuhänderservice zwischengeschaltet wird. Seit Monaten gibt es eine Welle von Treuhand-Betrugsfällen, bei denen solche Services mitunter nur für Tage entstehen - nur um Gelder aus betrügerischen Auktionen einzusammeln.

Betrügereien lassen sich nicht ausschließen

Solchen Arten des Warenbetrugs hat Ebay wenig mehr entgegen zu setzen als Aufklärung seiner Kunden per FAQ, Sicherheitsregeln und Warn-E-Mails, denn die Täter verfallen ständig auf neue Tricks. Allein die schiere Größe des Marktplatzes verhindert, hier alle Betrügereien direkt unterbinden zu können, zumal die meisten Delikte nicht mit technischen Mitteln durchgeführt werden, sondern mit dem klassischen Instrumentarium des Trickbetrugs. Dass sich Betrüger einen Account anlegen, nicht existente Ware verkaufen, abkassieren und verschwinden, ist nicht zu verhindern: Hier hilft wenig mehr als der ständige Verweis auf die Vorsichtsmaßnahmen bei solchen Formen virtuellen Handels.

In der Polizeilichen Kriminalstatistik 2006 des Bundeskriminalamtes heißt es: "Bei über vier Fünfteln der Fälle mit Internet als Tatmittel handelt es sich um Betrugsdelikte (82,6 Prozent). Besonders hervorzuheben ist hierbei der Warenbetrug, auf den allein mehr als die Hälfte (52,1 Prozent) aller Fälle mit Internet als Tatmittel entfielen."

Erfasst - im Klartext: angezeigt - wurden im letzten Jahr rund 86.000 Warenbetrugsdelikte per Internet, die Dunkelziffer dürfte allerdings enorm sein. Ein großer Teil dürfte dabei auf Ebay entfallen, was dem Unternehmen grundsätzlich aber nicht vorzuwerfen ist: Wer einen Flohmarkt betreibt, muss mit schrägen Vögeln leben - und kann ihren Umtrieben letztlich nur mit Regeln begegnen.

Die gibt es bei Ebay, und ihre Befolgung hätte sogar Schädigungen durch das gestern Nacht geschlossene Sicherheitsleck verhindert: Die Statuten von Ebay verbieten ausdrücklich, Zahlungen per Western Union - wie dies die Betrüger versuchten - abzuwickeln. Einige Ebay-Kunden pflegen im Forum des Auktionshauses, wo seit Jahren über solche Betrugsmethoden debattiert wird, inzwischen einen etwas müden "Selbst Schuld!"-Fatalismus: "Wer lesen kann", schrieb da einer schon vor Wochen, "ist klar im Vorteil."

Grundsätzlich ist das wahr, aber wer liest schon die Hausordnung eines Flohmarktes? Der Kritik, dass die Systeme, die eigene Kundschaft vor akuten Betrugsaktionen zu warnen, nicht hinreichend sind, muss sich Ebay immer wieder stellen. Ebay-Sprecher Nerses Chopurian hat für solche Fälle schon einen regelrechten Reflex ausgebildet: den Appell an "den gesunden Internetverstand". Ganz Unrecht hat er da nicht.

Verwandte Artikel