eBay schaltet die Passwort-Sicherheit seiner Mitglieder ab

Geändert am 29.01.2014
Update vom 05.02.2014
Mittlerweile hat eBay auf Anfrage von Journalisten Stellung genommen. Das Zurücksetzen des Passwortes ohne Sicherheitsvorkehrungen sei »Branchenstandard«, so eBay-Sprecherin Maike Fuest, die eBay mit Firmen wie Amazon oder Zalando verglich. Allerdings wird in eBays Antwort explizit darauf hingewiesen, dass die Namen der beiden Konkurrenten als »Hintergrundinformationen« zu behandeln seien.

Möglicherweise befürchtet man in eBays Presseabteilung, dass der Unterschied zwischen einem Einkaufsaccount bei einem der großen E-Commerce-Anbieter und einem Verkaufsaccount bei eBay, der unmittelbar Betrugsversuche im Umfang von mehreren zehntausend Euro starten kann, sonst zu offensichtlich würde. Dankenswerterweise wurde der unpassende Vergleich in einem bei „netzpiloten.de“ erschienenen Artikel dennoch veröffentlicht.

Das ebenfalls in eBays Statement genannte »abgestufte Sicherheitsverfahren« hat »falle-internet.de« überprüft und konnte erfolgreich Passwörter über den Anonymisierungsdienst »TOR« und aus dem Ausland zurücksetzen. Woran eBays »Risikomanagement-Systeme« ein »höheres Missbrauchsrisiko« festmachen, das angeblich »zusätzliche Sicherheitsmaßnahmen« auslöst, ist nicht bekannt.

Derweil wurde am 04.02.2014 über einen neuen Fall von E-Mail-Adressdiebstahl berichtet, der »unzählige Mail-Konten« des Anbieters Yahoo betrifft. Die betreffenden Adressen würden systematisch durchsucht, um »an sensible Daten zu gelangen, die zu kriminellen Zwecken genutzt werden könnten.«

Selbst wenn eBay-Nutzer bei der Wahl ihrer Passwörter sämtliche Experten-Tipps zur Passwortsicherheit einhalten, können ihre Mitgliedskonten ganz einfach gekapert werden.

eBay hat die Beantwortung von Sicherheitsfragen bei der Benutzung der „Passwort vergessen“ -Funktion abgeschafft.

Um ein fremdes eBay-Konto zu übernehmen, reicht es aus, Zugriff auf die hinterlegte E-Mail-Adresse zu haben.
In der letzten Woche sorgte eine Meldung für Aufsehen, nach der sich der Zugang zu bis zu 16 Millionen deutschen E-Mail-Adressen in der Hand von Kriminellen befinden soll. Entsprechende Datensätze waren dem Bundesamt für Sicherheit in der Informationstechnologie zugegangen. Selbst wenn die Zahl der tatsächlich betroffenen Personen bedingt durch Dopplungen, fiktive oder veraltete Adressen deutlich niedriger anzusetzen sein dürfte, hätten damit Betrüger potentiell Zugriff auf eine siebenstellige Anzahl von eBay-Konten.
Bis vor kurzem mussten zur Betätigung der Funktion „Passwort vergessen“ noch 2 von 4 sogenannten „Sicherheitsfragen“ beantwortet werden. Obwohl die Eignung der abgefragten Daten (z.B. Postleitzahl, Geburtsdatum) seit jeher durchaus umstritten war, stellten die Fragen doch eine zusätzliche Hürde für Betrüger und Kriminelle dar. Mittlerweile verzichtet eBay jedoch auf jede Art von Identitätsbestätigung und schickt den Link zum Zurücksetzen des Passwortes und damit den Zugang zu jedem eBay-Mitgliedskonto einfach an die hinterlegte E-Mail-Adresse.
Der Name des zu übernehmenden Mitgliedskontos muss dabei nicht einmal bekannt sein, es reicht die Eingabe einer E-Mail-Adresse. Falls zu der Adresse ein eBay-Konto existiert, kann es direkt gekapert werden:

Schritt 1: Mailadresse eingeben, „Passwort vergessen“ auswählen


Schritt 2: Link anklicken


Schritt 3: „Ihr neues Passwort ist sofort gültig.“

Die zuständige Abteilung bei eBay wurde bereits in der letzten Woche von »falle-internet.de« über das Sicherheitsloch informiert. Pressesprecherin Daphne Rauch teilte auf Anfrage mit, dass eBay sich aus zeitlichen Gründen außer Stande sehe, bis zur Veröffentlichung dieses Artikels das Problem zu kommentieren. Eine etwaige Erklärung eBays wird »falle-internet.de« ggf. an dieser Stelle nachtragen.
falle-internet.de meint:
Benutzen Sie für Ihre eBay-Konten jeweils eine eigene Mailadresse, die Sie nirgends sonst verwenden.

Falls Sie den Verdacht haben, dass unbefugte Dritte Zugriff zu Ihrer Adresse haben oder gehabt haben könnten, überprüfen Sie, ob Sie sich noch in Ihr eBay-Konto einloggen können und prüfen Sie bei Ihrem Mailanbieter, ob jemand eine Weiterleitung eingerichtet hat und somit Ihre Mails mitlesen kann.


ZUM SEITENANFANG