Aus der Verantwortung stehlen
Im Hickhack um die Sicherheitslücke legt eBay wenig Professionalität an den Tag. Gleich mehrere Ausreden müssen herhalten, warum das Problem immer noch nicht beseitigt ist. Statt den Fehler zu beheben, soll nun der Kunde handeln.
- Daniel Bachfeld
Eine siebenstellige Summe soll der Sicherheitsspezialist Björn N. zur Preisgabe seines Wissens über die Lücke gefordert haben, sagt eBay. Das sei alles ein Missverständnis, wehrt Björn N. ab. Jeder halbwegs clevere Zwölfjährige könne die Lücke ausnutzen - "da gibt es nichts an Wissen zu verkaufen." Die Lücke sei seit langem bekannt, gesteht eBay ein - "und sowieso nur theoretisch". Code-Beispiele im heise-Forum untermauern aber die Praktikabilität solcher Angriffe. Und eigentlich dienen die JavaScripte laut eBay ja der Verschönerung der Bieterseiten. Wie denn nun?
Im Hickhack um die Sicherheitslücke legt eBay wenig Professionalität an den Tag. Gleich mehrere Ausreden müssen herhalten, warum das Problem immer noch nicht beseitigt ist. Der eBay-typischen Reflexantwort "Wir nehmen den Datenschutz sehr ernst" mag man dann kaum noch glauben schenken, insbesondere weil die Lücke schon so lange bekannt ist und entgegen allen Beteuerungen auch schon aktiv ausgenutzt wird. In Ausgabe 17/04 berichtete c't im Artikel "Auf Phishzug" ab Seite 198, wie Phisher auf eBay einen Porsche Cayenne anboten, um an Name, Passwort und sogar an Kreditkarteninformationen von Bietern zu gelangen. Auch dort machten sich die Betrüger das Einbetten von JavaScript in Angebotstexten zu Nutze.
Warum lässt eBay überhaupt JavaScripte in seinen Seiten zu? Opfern sie die Sicherheit vieler Kunden, um wenigen Anbietern animierte Mauszeiger zu ermöglichen? Die Entwickler anderer Web-Applikationen und -Server achten seit langem penibel darauf, dass ja kein Nutzer irgendwie JavaScript einschleusen kann und filtern deshalb die Inhalte. Ist es eBay einfach nur egal oder wusste man es nicht besser? Diese Frage wird eBay in den kommenden Tagen beantworten müssen.
Egal wie die Antwort auch lautet, sie wirft ein schlechtes Licht auf den Branchenprimus, der schon in der Vergangenheit wenig Interesse für Sicherheitsprobleme und Meldungen über Betrugsversuche zeigte, wie Leserzuschriften an uns immer wieder untermauern. Bei Fragen zu konkreten Zahlen über kriminelle Aktivitäten verliert sich das Auktionshaus dann auch meist in vage Auskünfte, offizielle Zahlen über Schäden gibt es nicht.
Bislang sind Verluste ohnehin nur auf Kundenseite zu verzeichnen. Zwar erleidet eBay - wie im jetzigen Fall - Image-Schäden, das allein scheint aber keine Motivation zu sein, die Sicherheit zu verbessern. Stattdessen stiehlt man sich aus der Verantwortung und verweist auf die Kunden: Die sollen sich doch bitteschön die eBay-Toolbar installieren oder JavaScript im Browser deaktivieren. (dab)