Internet-Auktionshaus: Verein: Kriminelle können Ebay-Nutzer ausspionieren

Über eine Sicherheitslücke beim Internet- Auktionshaus Ebay sollen Kriminelle dem Bericht einer Verbraucherinitiative zufolge detaillierte Daten von Ebay-Nutzern wie Name, Wohnort, Bankverbindungen und E-Mail-Adresse abgreifen können. Dabei reicht es aus, dass ein ahnungsloser Besucher sich einloggt und eine Angebotsseite aufruft, berichtete die Initiative "Falle Internet".

Nach Angaben von Ebay hat die beschriebene Schwachstelle allerdings "keine Relevanz". "Wir setzen uns seit geraumer Zeit mit dieser Problematik auseinander", sagte Ebay-Sprecherin Maike Fuest am Mittwoch. Dem Unternehmen sei kein einziger Fall bekannt, in dem die beschriebene Schwachstelle über das weit verbreitete Flash-Programm "ActionScript" ausgenutzt worden wäre.

Problem schon seit einigen Jahren bekannt

Die von "Falle Internet" beschriebene Möglichkeit des Missbrauchs entsteht durch das Einbinden von aktiven Inhalten wie Flash- Animationen auf den Auktionsseiten. Über solche aktiven Inhalte ließen sich mit Hilfe von sogenannten Schadprogrammen Daten ausspähen und manipulieren. Dieses "Cross-Site-Scripting" ist ein bereits seit einigen Jahren bekanntes Problem, sagte Daniel Bachfeld, Redakteur des Fachmagazins "c't".

Nach einem ähnlichen Fall von möglichem Missbrauch hatte Ebay die Nutzung solcher aktiver Inhalte mit Javascript oder Flash im September 2005 an bestimmte Kriterien geknüpft. Seither dürfen nur als vertrauenswürdig geprüfte Nutzer wie Power-Seller mit mindestens 500 Bewertungen oder Paypal-Mitglieder solche Elemente in ihre Seiten einbinden.

Verein: Leichte Beute für Hacker

Der nicht eingetragene Verein "Falle Internet" hält diese Hürden für zu niedrig und fordert von dem Auktionshaus, interaktive Flash- Inhalte generell von dem Marktplatz zu verbannen. "Hacker haben über Phishing-Mails genügend Ebay-Accounts", sagte Burkhard Müller von "Falle Internet".

Ebay-Sprecher Nerses Chopurian schätzt einen möglichen Missbrauch über den geschilderten Weg dagegen als eher theoretisch ein. Eine Herausforderung für die Sicherheit stellten viel eher ganz normale Schadprogramme wie Trojanische Pferde dar, sagte Chopurian. "Der Aufwand wäre für einen Verbrecher sehr hoch, das können Sie mit normalem Phishing viel effektiver haben." Ebay setzt als zusätzliche Schutzmaßnahme nach eigenen Angaben bereits Technologien ein, um solche Schadsoftware zu erkennen und entsprechend manipulierte Angebote zu entfernen. (ut/dpa)