Ebay: Leichtfertiger Umgang mit Nutzerdaten

Leichtes Spiel für Phisher: Im Internet waren die Namen und Mitgliedsnamen aller Newsletter-Abonennten von Ebay frei zugänglich. Das Auktionshaus selber trug dafür aber nicht die Verantwortung, E-Marketing-Dienstleister Emarsys bekam den schwarzen Peter.

Knackpunkt war nun, dass Emarsys für Kunden, die in ihrem Mailprogramm die HTML-Funktion abgestellt haben, wie es beispielsweise im Thunderbird Standard ist, die personalisierten Webseiten im Internet „zwischengelagert“ hatte.

Ein Mausklick, und Ebay-Kunden konnten ihre perönliche Site aufrufen – jeder andere aber auch. Dazu bedurfte es nur einer geringen Manipulation an den hinterlegten URL-Adressen. Und da diese unverschlüsselt auf dem Server lagen, ließ sich so auch der komplette Datenbestand problemlos auslesen, sodass unseriöse Mail-Versender kinderleicht an eine komplette Adressdatenbank kamen.

Mittlerweile reagierte Ebay. Der Versuch, die Newsletter-Webseiten im Internet direkt abzurufen scheitert. Stattdessen erscheint eine Fehlermeldung: „mail momentarily not availble, please try again later“.

Heikel: Bislang hatte Ebay die Kombination des Nutzernamens mit dem realen Vor- und Zunamen des Nutzers als Sicherheitsmerkmal verwendet. Theoretisch können nun auch Phishing-E-Mails mit diesem "Sicherheitsmerkmal" personalisiert werden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben