Datenschutzprobleme mit Newsletter:
Millionen von eBay-Identitäten offen im Netz
Geändert am 29.10.2007
Die Sicherheitsprobleme bei eBay scheinen nicht abzureißen. Betroffen sind diesmal die Empfänger der millionenfach versendeten eBay-Newsletter. Im Internet sind deren Namen, Vornamen und die jeweils zugehörigen eBay-Mitgliedsnamen abrufbar.
Wie konnte es zu dieser Panne kommen? eBay verschickt an seine Kunden Newsletter in bunt gestalteter HTML-Form. Da allerdings nicht alle Empfänger die HTML-Funktion im E-Mailprogramm aktiviert haben, werden sämtliche Newsletter zusätzlich als Website im Internet hinterlegt. Per Mausklick können die Newsletter-Seiten aus der E-Mail heraus aufgerufen werden. Beide Versionen enthalten in der Anrede den Namen, Vornamen und Mitgliedsnamen und häufig auch die Bewertungspunktzahl des eBay-Nutzers.
Wie falle-internet.de herausgefunden hat, lassen sich mit geringen Manipulationen an den hinterlegten Webadressen (URL) die personalisierten E-Mails anderer Nutzer abrufen. Wegen fehlender Verschlüsselung ist fast der gesamte Datenbestand auslesbar.
In folgender Form sind die Daten im Internet abgelegt: Im Kopf der Newsletter ist neben dem Namen des eBay-Accounts auch der Vor- und Nachname des Inhabers aufgeführt:
Der Newsletter enthält außer Vorname und Name den eBay- Mitgliedsnamen.
Um die hinterlegten Newsletter anderer Nutzer aufzurufen, muss nur ein Teil der Webadresse variiert werden. Hier eine originale Adresse:
http://e3.emarsys.net/op/m.do?id=2ce700000II34cf968II8a6caeb8f9
Der URL enthält drei variable Blöcke (unterstrichen), dessen Einzelzeichen lediglich getauscht werden brauchen, bzw. deren Hexadezimalwerte fortgeschrieben werden können:
http://e3.emarsys.net/op/m.do?id=2ce700000II34cf968II8a6caeb8f9 http://e3.emarsys.net/op/m.do?id=2ce700001II34cf968II8a6caeb8f9 http://e3.emarsys.net/op/m.do?id=2ce700002II34cf968II8a6caeb8f9 http://e3.emarsys.net/op/m.do?id=2ce700003II34cf968II8a6caeb8f9 ... http://e3.emarsys.net/op/m.do?id=2cefffffeII34cf968II8a6caeb8f9 http://e3.emarsys.net/op/m.do?id=2ceffffffII34cf968II8a6caeb8f9
Mit jeder dieser fortlaufenden Kombinationen können weitere Newsletter aufgerufen werden.
falle-internet.de hat durch Tests herausgefunden, dass auch Newsletter solcher Nutzer im Internet hinterlegt sind, deren E-Mails keinen direkten Link auf die zusätzliche Website enthalten. Das ist z.B. in den Newslettern für web.de-Kunden der Fall. Neben deutschen eBay-Kunden findet man auch Adressen von österreichischen Nutzern im Datenbestand.
Das Auslesen der Daten ist mit sogenannten Skripten auch automatisiert möglich. Ein Programm würde fortlaufend die Newsletter mit entsprechenden Zahlen und Buchstabenreihen im URL abfragen. Unseriöse Datensammler und Versender von Phishing-E-Mails könnten so in wenigen Stunden hunderttausende Datensätze abgreifen.
Die Sache hat eine besondere Brisanz. eBay weist regelmäßig seine Kunden darauf hin, dass die Nennung des Vor- und Nachnamen in E-Mails ein Hinweis auf deren Echtheit ist. Normalerweise haben Versender von Spoof- oder Phishing-E-Mails darauf ja keinen Zugriff.
Die Newsletter sind auf dem Server des österreichischen E-Mail-Dienstleisters Emarsys AG gespeichert. Entweder wurden die Daten von eBay an diese Firma weitergereicht oder selbst auf deren Server abgelegt. Beim Schutz der Kundendaten ist eBay auch dann in der Pflicht, wenn mit Dritten kooperiert wird.
Wie fahrlässig eBay mit Nutzerdaten umgeht, konnte man erst letzte Woche erleben. Bei der Einrichtung neuer Kundenforen wurden versehentlich E-Mailadressen von Nutzern offen ins Netz gestellt. falle-internet.de berichtete darüber.
Eine weit schwerere Datenpanne ereignete sich Anfang September 2007. Damals hatten Hacker einen direkten Zugriff auf Server von eBay bzw. PayPal. Die gewonnen Daten wurden zum Verschicken von fingierten eBay-E-Mails genutzt.
Falle-Internet meint
Es ist besorgniserregend, dass in kurzer Zeit so gehäuft Sicherheitsmängel bei eBay aufgetreten sind. Trotz anderslautender Bekundungen nimmt eBay den Schutz von Nutzerdaten nicht ernst. Die hier beschriebene Sicherheitslücke war leicht erkennbar und wäre ohne viel Aufwand vermeidbar gewesen.
Das Vertrauen der Nutzer in die Sicherheit der Auktionsplattform sinkt. Die zunehmende Verunsicherung schadet letztlich allen, die bei eBay Handel treiben. Für manchen gewerblichen Händler kann das zu einer Existenzbedrohung werden.
eBay sollte Konsequenzen ziehen und das Qualitätsmanagement für die Bereiche „Sicherheit“ und „Datenschutz“ nachhaltig verbessern. Zusätzlich haben betroffene Nutzer Anspruch auf eine umgehende Information bezüglich dieser Datenpanne.
Nachtrag (29.10.2007)
eBay und die emarsys eMarketing Systems AG wurden von falle-internet.de über die beschiebenen Datenschutz - Probleme informiert und haben reagiert. Beim Versuch, Newsletter aus dem oben beschriebenen Bereich abzurufen, wird inzwischen eine Fehlermeldung angezeigt: »mail momentarily not availble, please try again later.«. Da die an die eBay-Mitglieder versendeten - und nicht durch Manipulation erhaltenen - Nachrichten aber nach wie vor abgerufen werden können, darf vermutet werden, dass hier eine vorhandene Sicherheitsfunktion (beispielsweise eine Prüfziffernabfrage) zuvor nicht aktiviert war. Die mittlerweile vermutlich reaktivierte Funktion dürfte nun zwar das automatisierte Auslesen nach dem oben beschriebenen Muster verhindern, ändert jedoch nicht die Tatsache, dass die Newsletter nach wie vor offen im Netz stehen.
Wechsel bei eBay zu Emarsys und personalisierter E-Mail im Jan. 2006: System News
Die jüngste Datenschutzpanne: E-Mail-Adressen aus der neuen Community
Die bisher kritischste Panne: Spiegel online und Datenabruf lief über PayPal
