Datenleck bei eBay -
Betrüger haben Zugang zur firmeneigenen Datenbank und lesen Mitglieder-Daten aus
Geändert am 10.09.2007
Alarmstimmung bei eBay: Die Mitglieder erkennen, dass Betrüger an ihre Daten gelangen können. Sie erhalten Betrugsangebote direkt an ihre E-Mail-Adresse und werden auf eine Kaufabwicklungsseite geleitet, auf der bereits ihr Wohnort mit Postleitzahl als Versandadresse eingetragen ist. Die Daten kann jeder auslesen, der die Zugangsadresse dieser Seite kennt; ob er dies Wissen in betrügerischer Absicht benutzen will oder - wie Mitglieder von falle-internet.de - zu Demonstrationszwecken.
Offenbar ist die Datenquelle verschiedenen Gruppen von Betrügern bekannt, denn sie befinden sich bereits im Wettlauf: Mitglieder erhalten die betrügerischen Angebote sogar, während die Auktion noch läuft. Das ist besonders ärgerlich für ehrliche Verkäufer, denen so die Kunden abgenommen werden. Gleich nach Abgabe eines hohen Gebots treffen im E-Mail-Eingang „Sofortkauf-Angebote“ aus aller Welt ein; in verschiedenen Sprachen versuchen Betrüger, den Interessenten zu ködern und der Konkurrenz zuvorzukommen. Es wird direkt auf die eBay-Datenbank zugegriffen, denn selbst Daten frisch angelegter Mitgliederkonten sind sofort einsehbar. Tests zeigen, dass auch die Mitglieder des eBay-Managements nicht vor der Datenauslese gefeit sind:
Dr. Stefan Groß-Selbeck, Geschäftsführer Deutschland, könnte dieses betrügerische Angebot unter Angabe seiner im Account hinterlegten - nicht öffentlichen - Adresse unterbreitet bekommen. Die Angebote unterscheiden sich je nach Absender in der Aufmachung.
Die Datenbankabfrage und das Versenden der E-Mails erledigt ein Programm automatisch, es muss lediglich eine Artikelnummer in ein Formular kopiert werden, nach dem „Start“ wird sofort angezeigt, was das Programm erledigt hat:
An neun der elf Bieter wurde eine E-Mail verschickt, bei den anderen lohnte es sich nicht – sie haben zu wenig geboten, wie die Software meldet. Die E-Mail-Adressen der Bieter werden angezeigt und könnten für eine weitere Verwendung gespeichert werden.
Der Vergleich mit der Gebotsliste der Auktion zeigt die perfekte Funktionsweise.
Die Bieter werden in dem betrügerischen Angebot per Mail zum Sofortkauf aufgefordert: „Buy It Now“, es öffnet sich eine Seite, die einer Angebotsseite von eBay nachgebildet ist ...
Wenn Sie per Klick auf den Button akzeptieren, werden Sie weitergeleitet zur „Kaufabwicklung“.
Der Lieferort ist bereits eingefügt. Die persönlichen Daten wie E-Mail-Adresse und Wohnort entsprechen den bei eBay hinterlegten Kontaktdaten und werden simultan direkt aus der eBay-Datenbank ausgelesen.