http://www.spiegel.de/netzwelt/technologie/0,1518,283154,00.html
Loch im Bewertungssystem
Das Gerücht, dass es Web-Betrügern immer wieder gelinge, ihre
Nutzerprofile bei eBay zu manipulieren, hält sich seit langem. Jetzt
musste eBay zugeben, dass das stimmt: Es ist noch nicht einmal ein
"Hack", nur die Ausnutzung einer Sicherheitslücke. eBay arbeitet an
einer Lösung.
SPIEGEL ONLINE
Der beispiellose Erfolg von eBay fußt vor allem auf einem Faktor: Dem
Online-Auktionshaus ist es gelungen, ein System zu etablieren, das
eine Vertrauensbasis zwischen handelnden Menschen schafft, die sich
nicht kennen. Nur deshalb sind Millionen Käufer bereit, für
ersteigerte Waren in Vorlage zu gehen und erst ihr Geld in die Welt
zu schicken, bevor sie die Ware in den Händen halten.
Das ist eigentlich verrückt und widerspricht allen guten Ratschlägen,
die Verbraucherschützer für ihre Klientel bereit halten. Aber es
funktioniert - meistens.
Immer wieder machen schwarze Schafe Schlagzeilen, die Waren
"verkaufen", aber nie versenden. Über 2000 Fälle registrierte die
deutsche Polizei im letzten Jahr, was einerseits viel scheint,
andererseits lächerlich wenig ist: Über eBay werden Millionen von
Transaktionen abgewickelt.
Trotzdem: Betrug ist möglich - und weit leichter, als das eBay bisher
zugegeben hat.
Das Bewertungssystem: Hier setzen Betrüger an
Die wichtigste "Vertrauensbildende Maßnahme" bei eBay ist die
gegenseitige Bewertung von Käufer und Verkäufer. Die macht den Handel
auch mit einem unbekannten Verkäufer ein wenig transparenter: Wie
viele Verkäufe hat dieser Mensch in den letzten Monaten abgewickelt?
Ist er ein Profi oder ein Amateur? Was halten seine Kunden von ihm?
Liefert er gute Ware, liefert er schnell? Gab es Streitigkeiten mit
Kunden und warum?
Alles Fragen, die sich aus dem Bewertungsprofil erschließen lassen.
Seit rund eineinhalb Jahren jedoch häufen sich die Gerüchte darüber,
dass Betrüger in der Lage seien, diese Profile zu manipulieren. Aus
neu angemeldeten Händlern werden plötzlich eBay-Urgesteine mit
Hunderten erfolgreich abgewickelten Geschäften, stets zur vollen
Zufriedenheit aller Kunden. In Wahrheit macht sich das Windei am Ende
mit dem Geld davon.
eBay hat das lange abgestritten, musste nun aber nach einer
Veröffentlichung der Zeitschrift "PC Welt" Farbe bekennen.
Und so funktioniert der Trick:
Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines
Javascript an den Beschreibungstext an. Wenn sich ein eBay-Nutzer das
Angebot anschaut, führt dessen Browser das Mini-Programm in der Regel
automatisch aus. Das Javascript tauscht die Daten in dem eBay-Profil
des Verkäufers nach Belieben aus - und selbst aus dem hinterletzten
Bengel wird ein Engel. Die Betrüger können sogar beliebige
Bewertungstexte von imaginären, aber angeblich zufriedenen Käufern
einblenden.
Das ist kein "Hack", wie von misstrauischen eBay-Usern lang vermutet,
sondern schlicht eine klaffende Sicherheitslücke.
Die ist einfach genug zu schließen: Wer Javascript in seinem Browser
deaktiviert, bevor er sich zu eBay begibt, sieht das echte Profil des
scheinbar seriösen Anbieters.
eBay bezieht Stellung
eBay selbst sieht in der Javascript-Lücke kein großes Problem. "Der
in PC Welt dargestellte Sachverhalt ist keine eBay-spezifische
Problematik: Jeder Internet-Anbieter, der mit Java arbeitet, kann
davon betroffen sein", heißt es in einer offiziellen Stellungnahme
des Unternehmens. Und weiter: "Wir lassen Javascript-Darstellungen in
den Angeboten unserer Mitglieder zu, da die eBay Gemeinschaft ein
Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer
Angebote von uns erwartet."
eBay gibt sich zuversichtlich, das Sicherheitsproblem auch so
weitgehend unter Kontrolle halten zu können: "Wir haben die
Möglichkeit, unzulässige Javascripte sehr schell aufzufinden und von
der Seite zu entfernen. Darüber hinaus arbeiten wir langfristig an
technischen Lösungen, unzulässige Darstellungen komplett zu
verhindern."
Verbraucherschützer und Polizeibehörden raten dazu, bei hochpreisigen
Waren den von eBay angebotenen Treuhand-Service in Anspruch zu
nehmen. Der gibt gezahltes Geld erst frei, wenn der Kunde
signalisiert, dass er die Ware erhalten und geprüft hat. Anzuraten
sei der kostenpflichtige Service bei allen Verkaufspreisen über 200
Euro
Loch im Bewertungssystem
Das Gerücht, dass es Web-Betrügern immer wieder gelinge, ihre
Nutzerprofile bei eBay zu manipulieren, hält sich seit langem. Jetzt
musste eBay zugeben, dass das stimmt: Es ist noch nicht einmal ein
"Hack", nur die Ausnutzung einer Sicherheitslücke. eBay arbeitet an
einer Lösung.
SPIEGEL ONLINE
Der beispiellose Erfolg von eBay fußt vor allem auf einem Faktor: Dem
Online-Auktionshaus ist es gelungen, ein System zu etablieren, das
eine Vertrauensbasis zwischen handelnden Menschen schafft, die sich
nicht kennen. Nur deshalb sind Millionen Käufer bereit, für
ersteigerte Waren in Vorlage zu gehen und erst ihr Geld in die Welt
zu schicken, bevor sie die Ware in den Händen halten.
Das ist eigentlich verrückt und widerspricht allen guten Ratschlägen,
die Verbraucherschützer für ihre Klientel bereit halten. Aber es
funktioniert - meistens.
Immer wieder machen schwarze Schafe Schlagzeilen, die Waren
"verkaufen", aber nie versenden. Über 2000 Fälle registrierte die
deutsche Polizei im letzten Jahr, was einerseits viel scheint,
andererseits lächerlich wenig ist: Über eBay werden Millionen von
Transaktionen abgewickelt.
Trotzdem: Betrug ist möglich - und weit leichter, als das eBay bisher
zugegeben hat.
Das Bewertungssystem: Hier setzen Betrüger an
Die wichtigste "Vertrauensbildende Maßnahme" bei eBay ist die
gegenseitige Bewertung von Käufer und Verkäufer. Die macht den Handel
auch mit einem unbekannten Verkäufer ein wenig transparenter: Wie
viele Verkäufe hat dieser Mensch in den letzten Monaten abgewickelt?
Ist er ein Profi oder ein Amateur? Was halten seine Kunden von ihm?
Liefert er gute Ware, liefert er schnell? Gab es Streitigkeiten mit
Kunden und warum?
Alles Fragen, die sich aus dem Bewertungsprofil erschließen lassen.
Seit rund eineinhalb Jahren jedoch häufen sich die Gerüchte darüber,
dass Betrüger in der Lage seien, diese Profile zu manipulieren. Aus
neu angemeldeten Händlern werden plötzlich eBay-Urgesteine mit
Hunderten erfolgreich abgewickelten Geschäften, stets zur vollen
Zufriedenheit aller Kunden. In Wahrheit macht sich das Windei am Ende
mit dem Geld davon.
eBay hat das lange abgestritten, musste nun aber nach einer
Veröffentlichung der Zeitschrift "PC Welt" Farbe bekennen.
Und so funktioniert der Trick:
Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines
Javascript an den Beschreibungstext an. Wenn sich ein eBay-Nutzer das
Angebot anschaut, führt dessen Browser das Mini-Programm in der Regel
automatisch aus. Das Javascript tauscht die Daten in dem eBay-Profil
des Verkäufers nach Belieben aus - und selbst aus dem hinterletzten
Bengel wird ein Engel. Die Betrüger können sogar beliebige
Bewertungstexte von imaginären, aber angeblich zufriedenen Käufern
einblenden.
Das ist kein "Hack", wie von misstrauischen eBay-Usern lang vermutet,
sondern schlicht eine klaffende Sicherheitslücke.
Die ist einfach genug zu schließen: Wer Javascript in seinem Browser
deaktiviert, bevor er sich zu eBay begibt, sieht das echte Profil des
scheinbar seriösen Anbieters.
eBay bezieht Stellung
eBay selbst sieht in der Javascript-Lücke kein großes Problem. "Der
in PC Welt dargestellte Sachverhalt ist keine eBay-spezifische
Problematik: Jeder Internet-Anbieter, der mit Java arbeitet, kann
davon betroffen sein", heißt es in einer offiziellen Stellungnahme
des Unternehmens. Und weiter: "Wir lassen Javascript-Darstellungen in
den Angeboten unserer Mitglieder zu, da die eBay Gemeinschaft ein
Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer
Angebote von uns erwartet."
eBay gibt sich zuversichtlich, das Sicherheitsproblem auch so
weitgehend unter Kontrolle halten zu können: "Wir haben die
Möglichkeit, unzulässige Javascripte sehr schell aufzufinden und von
der Seite zu entfernen. Darüber hinaus arbeiten wir langfristig an
technischen Lösungen, unzulässige Darstellungen komplett zu
verhindern."
Verbraucherschützer und Polizeibehörden raten dazu, bei hochpreisigen
Waren den von eBay angebotenen Treuhand-Service in Anspruch zu
nehmen. Der gibt gezahltes Geld erst frei, wenn der Kunde
signalisiert, dass er die Ware erhalten und geprüft hat. Anzuraten
sei der kostenpflichtige Service bei allen Verkaufspreisen über 200
Euro