eBay zu Sicherheitslücken

eBay hat zu den in der stern-TV-Sendung dargestellten Sicherheitslücken Stellung genommen:

Stellungnahme zu STERN TV am 15.12.2004

Stern TV hat in der Sendung vom 15. Dezember 2004 auf Missbrauchsmöglichkeiten im Zusammenhang mit der Verwendung von JavaScript-Funktionen hingewiesen. Dieses im gesamten Internet verbreitete Problem ist eBay bekannt. eBay hat angemessene Sicherheitsmassnahmen getroffen, um Angebote mit unzulässigem JavaScript zu identifizieren und zu entfernen.

Durch die in Stern TV beschriebene Problematik ist nach Kenntnis von eBay bisher keinem Mitglied ein materieller Schaden zugefügt worden. Außerdem war der Handel auf der eBay-Plattform zu keiner Zeit gefährdet. eBay rät seinen Nutzern generell, regelmäßig ihr eBay-Konto zu prüfen und auf Unregelmäßigkeiten zu achten. Im Zweifelsfall sollten sie sofort mit dem eBay-Kundenservice Kontakt aufnehmen.

eBay lässt bestimmte JavaScript-Darstellungen in den Angeboten seiner Mitglieder zu, um der eBay-Gemeinschaft ein Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer Artikelangebote zu ermöglichen. So ermöglichen JavaScripts Animationen, Sounds und interaktive Elemente bei der Produktbeschreibung. eBay verbietet jedoch die Verwendung von JavaScript-Funktionen, die Cookies setzen oder auslesen können, den Besucher von eBay zu einem anderen Internet-Angebot weiterleiten, die Funktion "JavaScript Include" enthalten oder „iframe“-Tags einsetzen. Bereits heute haben wir die Möglichkeit, unzulässige JavaScripts sehr schell aufzufinden und von der Seite zu entfernen. Die unzulässige Nutzung von JavaScript-Darstellungen ist keine eBay-spezifische Problematik: Jeder Internet-Anbieter, der mit JavaScripts arbeitet, kann davon betroffen sein.

eBay empfiehlt seinen Mitgliedern, die eBay-Toolbar zu nutzen. Diese enthält einen Sicherheitscheck, der Mitglieder bereits heute aktiv vor betrügerischen Websites schützt. Hiermit können Nutzer anhand eines dreifarbigen Signalsystems erkennen, ob sie sich auf einer von eBay oder dem zu eBay gehörenden Online-Zahlungssystem PayPal verifizierten Website befinden; nur diese werden mit einer grünen Signalfarbe unterlegt. Befinden sich Nutzer hingegen auf rot markierten Seiten, rät eBay strikt davon ab, personenbezogene Daten wie Passwort oder Kreditkarteninformationen einzugeben. Hier handelt es sich um eindeutig identifizierte betrügerische Webseiten. Bei einem grauen Symbol sind die Seiten von eBay nicht eindeutig zuzuordnen und sollten mit Vorsicht behandelt werden. Bei der Eingabe des eBay-Passwortes auf eBay- und PayPal-fremden Websites warnt zudem ein in die Toolbar integrierter Passwortschutz die eBay-Nutzer vor der Eingabe.

Im Großen und Ganzen ist das alles richtig. Aber zwei Anmerkungen habe ich dazu:

eBays Toolbar ist datenschutzrechtlich bedenklich, denn eBay legt nirgendwo offen, welche Daten die an eBay übermittelt. Außerdem ist keineswegs sicher, dass sie wirklich vor Betrugsversuchen per JavaScript schützt: Die Firma Validome, die in stern TV die Sicherheitslücken zeigen wollte, behauptet auch die eBay-Toolbar überlisten zu können.

eBay schreibt: "eBay rät seinen Nutzern generell, regelmäßig ihr eBay-Konto zu prüfen und auf Unregelmäßigkeiten zu achten. Im Zweifelsfall sollten sie sofort mit dem eBay-Kundenservice Kontakt aufnehmen."
Gerade diese Woche rief mich ein verzweifelter eBay-Top-Seller an, dessen Account offensichtlich gehackt worden war und der nicht mal mehr in sein eigenes Konto kam. Er hatte massenhaft Mails an eBay geschrieben, stundenlang vergeblich versucht, die 0900-Nummer eBays anzurufen und mehrere Faxe an die einzige ihm bekannte (für andere Zwecke vorgesehene) eBay-Nummer geschickt. Dies alles blieb ohne jede Reaktion - während unter seinem Namen Angebote eingestellt und Bewertungen abgegeben wurden. Der bangt nun um seine wirtschaftliche Existenz - ohne eBay erreichen zu können.

Fazit: eBays Sicherheitslücken sind schon sehr lange bekannt - und die können letztlich nur effektiv behoben werden, wenn in eBays Artikelbeschreibungen gar kein JavaScript mehr verwendet werden kann. Dann würden eBay-Verkäufer zwar auf Hintergrundmusik, Mausverfolger und den Bildschirm runterrieselnde Weihnachtsmänner verzichten müssen - aber viele Käufer würden das ohnehin als echte Wohltat empfinden. Es reicht absolut nicht aus, "bösen" Code per AGB zu verbieten - das interessiert potenzielle Betrüger natürlich nicht im geringsten.

Axel Gronen
19.12.2004

Vorherige Meldung Vorherige Meldung

© 2004 bei Axel Gronen. Letzte Aktualisierung: 19.12.04.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo eBay