eBay-Sicherheitsleck identifiziert:
Datenabruf lief über PayPal

Geändert am 12.09.2007
Bei diesem Beitrag handelt es sich um eine Fortschreibung der Presseinformation „Datenleck bei eBay“ vom 09.09.2007. Die dort bereits enthaltenen Bildschirmfotos sind zur Verdeutlichung erneut enthalten.

Nach Veröffentlichung der eBay-Sicherheitslücke durch die internationale Presse wurde dem Team von falle-internet.de nun der Original-Programmcode* von zwei der von den Betrügern verwendeten Scripte zugespielt.
Die Analyse der beiden Scripte durch Experten von falle-Internet.de hat ergeben, dass die Sicherheitslücke nicht wie zunächst angenommen bei eBay selbst bestand, sondern dass die Kriminellen ein „Loch“ bei der eBay-Tochter PayPal ausgenutzt haben müssen.

Es gibt zwei Skripte, die perfekt aufeinander abgestimmt gearbeitet haben. Die Details:
Phase 1: Versendung der E-Mails an die Bieter
Das erste Skript hatte die Aufgabe, die Bieter bereits ausgewählter Angebote auf ihre Tauglichkeit als Opfer hin zu untersuchen und ihnen eine E-Mail mit dem Angebot eines Sofort-Kaufes zu versenden.
Dieses erste Skript wurde von den Kriminellen aufgerufen und mit Artikelnummern gefüttert:
Das Skript hat nach der Eingabe von eBay-Angebotsnummern über die Bieterlisten bei eBay (siehe Abbildung) die Accountnamen und Gebotsbeträge extrahiert:

  

Anschließend wurden für diese Accountnamen über einen vertraulichen, jedoch nicht abgesicherten Link die zu diesen Accountnamen passenden E-Mail-Adressen bei dem Bezahlservice PayPal abgefragt und den Bietern - soweit sie mindestens 90 EUR geboten hatten - per E-Mail ein gefälschtes Sofortkauf-Angebot zugesendet.
Dieses hatte beispielsweise folgendes Aussehen:

  

Während die betrügerischen E-Mails von dem ersten Skript bereits versendet wurden, erhielt der Aufrufer des Skripts diese Rückmeldung über die Aktivitäten zu einem einzelnen Artikel:

  

Phase 2: Zahlungsaufforderung
Die E-Mails enthielten einen Link in Form einer Schaltfläche, durch dessen Anklicken sich der Webbrowser mit dem Aufruf des zweiten Skriptes öffnete:

  

Das zweite Skript erstellte online eine gefälschte Kaufabwicklungsseite, auf der die interessierten Bieter zu einer Zahlung des von ihnen gebotenen Betrags über den Bargeldtransfer-Service von Western Union an einen von zwei Empfängern in London aufgefordert wurden. Das Skript verwendete zur Einblendung des Angebotstitels, des Gebotspreises und der Artikelnummer Daten, die in dem aufrufenden Link enthalten waren. Ein weiterer Kontakt zu eBay war daher nicht notwendig. Allerdings wurden auf der Seite erneut die E-Mail-Adresse des Bieters sowie der Ort mit Postleitzahl und eine weitere - vermutlich durch ein Versehen mit dem Straßennamen verwechselte - Angabe eingeblendet.
Diese Daten wurden wie auch beim ersten Skript direkt über ein Sicherheitsloch bei PayPal ausgelesen.
Mitten ins Herz
Das Herzstück dieser beiden - und vermutlich auch einer ganzen Reihe weiterer ähnlich arbeitender Skripte - stellt die Verwendung des folgenden Seitenabrufs dar:

$url = file_get_contents('http://www.paypal.com/cgi-xxx/ webscr?cmd=_exxy-intxxxxxed-regxxxxxxion&link=0&NBO=1 &ebay_id=' .$_GET[buyer]);

Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.
Datenlieferant der E-Mail-Adressen und Anschriftsdaten war demnach nicht die Datenbank von PayPal, sondern wie bereits berichtet die Kunden-Datenbank bei eBay selbst. Dies kann einwandfrei daraus geschlossen werden, dass auch eBay-Mitglieder die gefälschten Angebote mit richtiger Adressangabe erhalten hatten, die in keinerlei Verhältnis zum Online-Zahlungsdienstleister PayPal standen. Anders ausgedrückt: Die Kriminellen konnten sich schon seit geraumer Zeit ungestört über den Umweg PayPal direkt aus der Kundendatenbank von eBay bedienen. Erst die massenweise Nutzung durch die automatischen Skripte und die Versendung der Angebote auch an Nicht-PayPal-Kunden haben diesen Zusammenhang ans Licht gebracht.
Der ganze Vorgang ist in zweierlei Hinsicht heikel:
  • PayPal hat eine Banklizenz erhalten. Eine Sicherheitslücke, die unautorisierten Zugriff auf Nutzerdaten durch Unbefugte erlaubt, ist bei einem Geldinstitut nicht hinnehmbar.
  • Hätte PayPal die von den Kriminellen abgegriffenen Daten überhaupt haben dürfen? Durch „das Loch“ bei PayPal konnten auch eBay-Nutzer-Daten abgefragt werden, die gar nicht bei PayPal angemeldet waren. Offensichtlich griff der Server von PayPal direkt auf die Datenbestände von eBay zu. Es ist fraglich, ob das durch die Datenschutzerklärung von eBay abgedeckt und/oder einen Verstoß gegen geltende Datenschutzbe- stimmungen darstellt.
Daraus ergibt sich zwangsläufig die Frage, welche Drittanbieter außer PayPal die Möglichkeit haben, in dieser Weise ungehindert auf den Datenbestand von eBay zuzugreifen und was eBay zu tun gedenkt, um für die Zukunft zu verhindern, dass eine Sicherheitslücke beim Drittanbieter zur Sicherheitslücke bei eBay wird.
Update 13.09.2007: eBay bestätigt den beschriebenen Vorgang
Mittlerweile hat sich auch eBay zu Wort gemeldet. "eBay und PayPal arbeiten über Schnittstellen zusammen", erklärte eBay-Pressesprecher Nerses Chopurian gegenüber heute.de. Über diese Schnittstellen würden aber nur dann Daten ausgetauscht, wenn der eBay-Kunde dazu sein Einverständnis erkläre, weil er beispielsweise ein Konto bei PayPal eröffnen möchte. In diesem Falle "füllt eBay für den Kunden das Anmeldeformular mit den bei eBay hinterlegten Daten aus" - so Chopurian weiter. Die Daten würden normalerweise erst in dem Augenblick an PayPal übertragen, in dem der Kunde die Anmeldung abschließe.

"Im Zusammenhang mit einer Schnittstelle zur Kontoeröffnung ist ein Fehler aufgetreten, der von eBay innerhalb weniger Stunden nach Bekanntwerden behoben wurde", sagt Chopurian und bestätigt damit den Datenklau per PayPal. Das "Problem" habe dazu geführt, dass "kurzzeitig" Adressdaten aus der eBay-Datenbank via PayPal ausgelesen werden konnten.

 


ZUM SEITENANFANG