Paypal: Ärger wegen Ebay-Betrug

von Dr. Matthias Hell

Share
13.09.2007

Mit gefälschten Sofort-Kauf-Angeboten haben Betrüger bei Ebay-Auktionen unterlegene Bieter zu Geldüberweisungen verleitet. Besonders pikant: Für das zu Grunde liegende Sicherheitsleck scheint nicht das Online-Auktionshaus, sondern die mit einer Banklizenz operierende Ebay-Tochter Paypal verantwortlich zu sein.

(Fortsetzung des Artikels von Seite 1)

Mit solchen »Angeboten an unterlegene Bieter« wurden Ebay-Kunden geködert

Die Affäre um ein Sicherheitsleck bei Ebay [1], das es Betrügern ermöglichte, die Kundendatenbank des Online-Auktionshaus auszulesen, hat den Bezahlservice Paypal [2] erreicht: Den Betreibern der Verbraucherschutzseite falle-internet.de [3] wurde ein Programmcode zugespielt, bei dem es sich um das von den Kriminellen verwendete Webskript handeln soll. Für falle-internet.de ist damit klar: »Anders als zunächst angenommen bestand die Sicherheitslücke nicht bei Ebay selbst«. Vielmehr zeige das Skript, dass die Betrüger ein »Loch« bei der Ebay-Tochter Paypal ausgenutzt hätten. Dadurch sei es den Kriminellen möglich gewesen, die zu einem Ebay-Benutzernamen zugehörigen Email- und Adressdaten abzurufen. Bei Auktionen unterlegene Bieter wurden in der Folge gefälschte Sofort-Kauf-Angebote unterbreitet. Mehrere Ebay-Mitglieder ließen sich auf diese Weise zu Geldüberweisungen per Western Union ködern.

Während falle-internet.de inzwischen den Programmcode an das ermittelnde LKA Brandenburg weitergeleitet hat, stellen sich für den Bezahlservice Paypal unangenehme Fragen. So ließen sich angeblich über die Sicherheitslücke auch Daten von Ebay-Mitgliedern auslesen, die Paypal gar nicht benutzen. Der Payment-Anbieter scheint somit über einen direkten Zugriff auf die Mitgliederdatenbank von Ebay zu verfügen, was in datenschutzrechtlicher Hinsicht nicht unproblematisch ist. Zum anderen würde ein »Leck« bei dem inzwischen als Geldinstitut registrierten Bezahlservice noch schwerer wiegen als bei der Konzermutter Ebay.

Ebay: »Haben die Schwachstelle vollständig behoben«

Nerses Chopurian, Leiter der Unternehmenskommunikation von Ebay Deutschland

Nerses Chopurian, Leiter der Unternehmenskommunikation von Ebay Deutschland, sieht die Verknüpfung der Benutzerdaten von Ebay und Paypal dagegen weniger kritisch: »Ebay und Paypal arbeiten über Schnittstellen zusammen«, so der Unternehmenssprecher gegenüber CRN. »Über diese Schnittstellen werden nur dann Daten ausgetauscht, wenn der Kunde dazu sein Einverständnis erklärt«. Dies sei zum Beispiel der Fall, wenn ein Ebay-Kunde ein Paypal-Konto eröffne. Dann würden die entsprechenden Ebay-Benutzerdaten in das Paypal-Anmeldeformular übertragen. Genau diese Schnittstelle zur Kontoeröffnung sei die Ursache für das nun bekannt gewordene »Leck«, das aber bereits wenige Stunden nach Bekanntwerden behoben worden sei. Auffällig ist, dass sich Ebay geradezu bemüht, die Verantwortlichkeit für die Sicherheitslücke zu übernehmen. Ob das ausreicht, um das E-Geldinstitut Paypal aus der Schusslinie zu halten, wird sich allerdings erst zeigen.

Für seine Kunden gibt Ebay jedenfalls Entwarnung: »Den Schwachpunkt in der fraglichen Programmierschnittstelle haben wir inzwischen vollständig behoben«. Daneben habe man die Ebay-Kunden zeitnah über das Vorgehen der Betrüger informiert und werde Mitgliedsnamen von Bietern ab einem Gebot von 100 Euro künftig nicht mehr öffentlich sichtbar machen. Während diese in der Gebotsübersicht anonymisiert würden, könne ab sofort nur noch der Verkäufer selbst die Log-In-Namen der Bietenden einsehen.

Diskutieren Sie dieses Thema im CRN-Forum [4] !

CRN-Newsletter abonnieren und neuen iPod Nano Video gewinnen.
Unter allen bis zum 31.Oktober 2007 neu registrierten Lesern verlosen wir fünf neue Apple iPod Nano mit Videofunktion. Jetzt anmelden! [5]

[1] http://www.ebay.de
[2] http://www.paypal.de
[3] http://www.falle-internet.de
[4] http://forum.crn.de
[5] http://www.crn.de/sections/newsletter/