Ebay flickt Sicherheitsleck

Von Frank Patalong

Der Spiegel (11.09.07) - Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen Offerten perfider Krimineller beschickt. Die dafür nötigen Adressen hatten sie aus den Datenbanken von Ebay selbst gefischt - eine erhebliche Sicherheitslücke. Jetzt ist das Leck zumindest bei Geboten ab 100 Euro gestopft.

Wenige Stunden, nachdem SPIEGEL ONLINE über eine klaffende Sicherheitslücke bei Ebay berichtete, ist es dem Unternehmen nach eigenen Angaben gelungen, das Leck zu stopfen.

Über mindestens zwei Wochen hatten unbekannte Cyber-Kriminelle Adressdaten unterlegener Bieter in Online-Auktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen, und forderten sie zur Zahlung auf.

Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mail-Versandes in den letzten Wochen.

Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.

Späte Reaktion, dann aber zackig

Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der von SPIEGEL ONLINE noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden.

Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen. Nach Veröffentlichung eines Berichtes über die Betrugsmasche (mehr...) bei SPIEGEL ONLINE am Montagabend warnte Ebay seine Kunden per "Marktmitteilung".

Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mail-Welle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."

Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.

Diese Umstellung nahm Ebay bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hacker-Script hinterlegt war, dürfte die aktuelle Betrugs-Mail-Welle der letzten Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Auktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.

Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian im Gespräch mit SPIEGEL ONLINE, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."

---

Auktionsbetrug: Ein Dauerproblem

Das Problem des Betruges in Auktionen ist mit technischen Mitteln aber nicht zu lösen: Der derzeit stärkste Betrugstrend bei Ebay täuscht zögerlichen Kunden bei hochpreisigen Versteigerungen besondere Sicherheit vor, indem ein Treuhänder-Service zwischengeschaltet wird. Seit Monaten gibt es eine Welle von Treuhand-Betrugsfällen, bei denen solche Services mitunter nur für Tage entstehen - nur um Gelder aus betrügerischen Auktionen einzusammeln.

Solchen Arten des Warenbetrugs hat Ebay wenig mehr entgegenzusetzen als die Aufklärung seiner Kunden per FAQ, Sicherheitsregeln und Warn-E-Mails, denn die Täter verfallen ständig auf neue Tricks. Allein die schiere Größe des Marktplatzes verhindert, hier alle Betrügereien direkt unterbinden zu können, zumal die meisten Delikte nicht mit technischen Mitteln durchgeführt werden, sondern mit dem klassischen Instrumentarium des Trickbetrugs. Dass sich Betrüger einen Account anlegen, nicht existente Ware verkaufen, abkassieren und verschwinden, ist nicht zu verhindern: Hier hilft wenig mehr als der ständige Verweis auf die Vorsichtsmaßnahmen bei solchen Formen virtuellen Handels.

In der Polizeilichen Kriminalstatistik 2006 des Bundeskriminalamtes heißt es: "Bei über vier Fünfteln der Fälle mit Internet als Tatmittel handelt es sich um Betrugsdelikte (82,6 %). Besonders hervorzuheben ist hierbei der Warenbetrug, auf den allein mehr als die Hälfte (52,1 %) aller Fälle mit Internet als Tatmittel entfielen."

Lesen und Denken hilft

Erfasst - im Klartext: angezeigt - wurden im letzten Jahr rund 86.000 Warenbetrugsdelikte per Internet, die Dunkelziffer dürfte allerdings enorm sein. Ein großer Teil dürfte dabei auf Ebay entfallen, was dem Unternehmen grundsätzlich aber nicht vorzuwerfen ist: Wer einen Flohmarkt betreibt, muss mit schrägen Vögeln leben - und kann ihren Umtrieben letztlich nur mit Regeln begegnen.

Die gibt es bei Ebay, und ihre Befolgung hätte sogar Schädigungen durch das gestern Nacht geschlossene Sicherheitsleck verhindert: Die Statuten von Ebay verbieten ausdrücklich, Zahlungen per Western Union - wie dies die Betrüger versuchten - abzuwickeln. Einige Ebay-Kunden pflegen im Forum des Auktionshauses, wo seit Jahren über solche Betrugsmethoden debattiert wird, inzwischen einen etwas müden "Selbst Schuld!"-Fatalismus: "Wer lesen kann", schrieb da einer schon vor Wochen, "ist klar im Vorteil."

Grundsätzlich ist das wahr, aber wer liest schon die Hausordnung eines Flohmarktes? Der Kritik, dass die Systeme, die eigene Kundschaft vor akuten Betrugsaktionen zu warnen, nicht hinreichend sind, muss sich Ebay immer wieder stellen. Ebay-Sprecher Nerses Chopurian hat für solche Fälle schon einen regelrechten Reflex ausgebildet: den Appell an "den gesunden Internet-Verstand". Ganz Unrecht hat er da nicht.

(Quelle: http://www.spiegel.de/netzwelt/tech/0,1518,505001,00.html)

Die Redaktion Philaseiten weist ausdrücklich darauf hin, dass sie sich die gemachten Aussagen nicht zu eigen macht und diese nicht geprüft hat !