Erneute Datenpanne bei eBay
Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben eine weitere Schwachstelle ausgemacht, mit der es möglich ist, an den Mitgliedsnamen und den vollständigen Namen eines eBay-Mitglieds zu gelangen.
- Daniel Bachfeld
Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben eine weitere Schwachstelle ausgemacht, mit der es möglich ist, an den eBay-Namen und den vollständigen Namen eines eBay-Mitglieds zu gelangen. Diesmal ist die Ursache für die Datenpanne beim E-Marketing-Dienstleister Emarsys zu finden, der im Rahmen einer eBay-Werbekampage den Kunden personalisierte Webseiten anzeigt. Darin ist im Kopf sowohl der Name als auch der Mitgliedsname enthalten. Auf die Seite gelangt man durch den Klick auf die per Mail erhaltene URL, die eine einmalige ID enthält. Durch Manipulation der ID ist es jedoch möglich, Seiten aufzurufen, die für andere Mitglieder gedacht sind.
![Bild 1 [612 x 762 Pixel @ 404,2 KB]](/imgs/18/1/8/7/0/3/4/23b30ba26eff237e.png)
Laut internet-falle.de weist die Datenpanne insbesondere deshalb besondere Brisanz auf, weil eBay seine Kunden regelmäßig darauf hinweist, dass die Nennung des Vor- und Nachnamens in E-Mails ein Hinweis auf deren Echtheit ist. Normalerweise hätten Versender von Spoof- oder Phishing-E-Mails darauf keinen Zugriff und würden allenfalls den Mitgliedsnamen kennen. eBay und Emarsys wurden von den Verbraucherschützern über die Schwachstelle informiert.
Zuletzt deckte falle-internet.de ein Problem in einer Web-API von PayPal auf, mit der es möglich war, neben dem Namen auch den Wohnort eines Mitglieds abzufragen. Betrüger nutzten dies, um ihren Opfern täuschend echte "Angebote an unterlegene Bieter" zu unterbreiten.
Siehe dazu auch:
- Datenschutzprobleme mit Newsletter: Millionen von eBay-Identitäten offen im Netz, Meldung von falle-internet.de
- Bericht: Ursache für eBay-Datenleck war Lücke bei PayPal, Meldung auf heise Security
(dab)
