Verwirrung um Betrug auf eBay

13.09.2007

Die jüngste Welle von betrügerischen Angeboten beim Online-Auktionshaus eBay sei über eine Lücke beim hauseigenen Bezahlservice PayPal möglich gewesen, meint die Nutzer-Plattform Falle-Internet.de. Stimmt nicht, sagt eBay Österreich.

Die am Dienstag bekannt gewordenen Betrugsfälle bei eBay könnten nach Aussagen von Falle-Internet.de brisanter sein, als bisher angenommen wurde.

Demnach sei nicht eine "Lücke" bei eBay, sondern eine ungesicherte Website beim Bezahlservice PayPal schuld daran gewesen, dass Betrüger zahlreiche Daten von eBay-Nutzern unrechtmäßig auslesen konnten.

EBay: "Reine Spekulation"

Die E-Mail-Adressen für den Versand der Second-Chance-Offers [SCO, Angebote an unterlegene Bieter] wurden laut Falle-Internet.de direkt bei eBays Bezahlservice PayPal abgefragt.

Jörg Bartussek, Sicherheitsprecher bei eBay Österreich, weist die Darstellung jedoch von sich: "Das ist reine Spekulation und stimmt nicht."

Es habe zwar ein Problem mit einer technischen Schnittstelle [API] gegeben, allerdings mit einer eBay-API, die mit PayPal gar nichts zu tun habe.

Das Problem sei bei einer Kontoeröffnung für PayPal via eBay aufgetreten, so Bartussek gegenüber ORF.at. Das dazugehörige Formular liege bei eBay, erst bei der Anmeldung würden diese Daten an PayPal übermittelt, und bei dieser Schnittstelle sei der Fehler gelegen.

Woher stammten die Daten?

Wie Falle-Internet.de auf seiner Website erklärt, nutzten die Betrüger zwei Skripte, um an die Daten zu gelangen. Beide Skripte, so Falle-Internet.de, bedienten sich einer Lücke bei PayPal, über die die Nutzerdaten von der eBay-Datenbank direkt ausgelesen werden konnten.

Das sei insofern bedenklich, da die Unternehmen zwar zusammengehören, aber ihre Geschäfte und somit auch Datenbanken getrennt führen sollten.

Über das PayPal-Loch wurden laut Falle-Internet.de auch Daten von Nicht-PayPal-Nutzern bei eBay ausgelesen. Das sei umsomehr bedenklich, als PayPal diese gar nicht bekommen dürfte.

Zudem sei die Anonymisierung der Benutzernamen auch nicht ganz so schnell umgesetzt worden, wie eBay eigentlich angegeben hatte, erklärte ein Sprecher von Falle-Internet.de gegenüber ORF.at.

Über Drittanbieter, die sich ebenfalls des verdächtigen API bedienten, konnten demnach noch bis in den Dienstagabend die Daten ausgelesen werden.

Sicherheit vs. Usability

Bartussek verwies ausdrücklich darauf, dass das Problem in kürzester Zeit geschlossen wurde und seit Montagabend nicht mehr bestehe.

EBay tue alles für die Sicherheit und das Vertrauen seiner Nutzer, entsprechend sei auch die Anonymisierung der Gebote über 100 Euro in Österreich eingeführt worden. In anderen Ländern gebe es das schon länger, so Bartussek.

Dass durch die Anonymisierung auch das Verfolgen der Gebote bzw. der Bieter an sich schwieriger wird, musste selbst Bartussek eingestehen. In solchen Fällen gehe aber die Sicherheit der Nutzer vor, der Verkäufer selbst sehe weiterhin Klarnamen.

Daten nur mit Einverständnis

Gegenüber Heute.de gab eBay-Pressesprecher Nerses Chopurian an: "EBay und PayPal arbeiten über Schnittstellen zusammen", darüber würden aber nur Daten ausgetauscht, wenn der eBay-Kunde dazu sein Einverständnis gebe, eben wenn er ein Konto eröffnen möchte.

Das "Problem" habe dazu geführt, dass "kurzzeitig" Adressdaten aus der eBay-Datenbank via PayPal ausgelesen werden konnten.

Seit 2. Juli hält PayPal in Europa auch eine Banklizenz.