Bericht: Ursache für eBay-Datenleck war Lücke bei PayPal
Sollten sich die Vorwürfe bewahrheiten, wäre dies eine äußerst prekäre Situation für PayPal, da der Online-Bezahldienst erst vor zwei Monaten eine EU-Banklizenz erworben hat.
- Daniel Bachfeld
Nach Angaben der Verbraucherschutzseite falle-internet.de war offenbar keine Lücke bei eBay die Ursache für das kürzlich bekannt gewordene missbräuchliche Auslesen der Kundendatenbank, sondern eine Schwachstelle bei der eBay-Tochter PayPal. Betrüger hatten die Daten benutzt, um ihren Opfern ein gefälschtes "Angebot an den unterlegenen Bieter" zu unterbreiten und Kaufwilligen per Sofort-Kauf und Abwicklung via Western Union das Geld aus der Tasche zu ziehen.
Mitarbeiter von falle-internet.de wollen zwei von den Betrügern zum Auslesen der Daten benutzte Skripte analysiert haben. Kernstück der Skripte sollen Aufrufe der PayPal-API in der Form (Zeile im Original obfusziert)
$url = file_get_contents('http://www.paypal.com/cgi-xxx/
webscr?cmd=_exxy-intxxxxxed-regxxxxxxion&link=0&NBO=1 &ebay_id=' .$_GET[buyer]);
sein, mit denen die eBay-Datenbank bei Angabe eines Mitgliedsnamen Postleitzahl, Wohnort und Mail-Adresse eines Opfers zurückliefert.
Sollten sich die Vorwürfe bewahrheiten, wäre dies eine äußerst prekäre Situation für PayPal, da der Online-Bezahldienst erst vor zwei Monaten eine EU-Banklizenz erworben hat. Für Geldinstitute dürften aber strenge Sicherheitsvorgaben gelten. Welche Konsequenzen eine mögliche Schwachstelle hätte, ist unklar. In eBay-Foren wird darüber gemunkelt, dass eBay nach Bekanntwerden der Lücke so schnell und unumwunden die Schuld auf sich nahm, um PayPal zu schützen. Zudem wirft falle-internet.de die Frage auf, warum PayPal überhaupt auf eBay-Daten zugreifen kann und ob dies mit den geltenden Datenschutzbestimmungen im Einklang steht. In eBays "Einwilligung in die Verarbeitung meiner personenbezogenen Daten" gibt es aber ein Passage, die anderen eBay-Gesellschaften den Zugriff auf Kundendaten einräumt – allerdings nur in Zusammenhang mit finanziellen Transaktionen.
Siehe dazu auch:
- eBay-Sicherheitsleck identifiziert: Datenabruf lief über PayPal, Bericht auf falle-internet.de
- Betrüger lesen eBay-Kundendatenbank aus , Meldung auf heise Security
" (dab)