E-Mail-Adressen aus der „neuen Community“
Geändert am 24.10.2007Ursprüngliche Meldung vom 23.10.2007
Es dauerte nur wenige Stunden, bis ein Mitglied von falle-internet.de durch Zufall auf eine unglaubliche Tatsache stieß: Die Anzeige der E-Mail-Adresse eines Mitglieds, das kurze Zeit zuvor einen Beitrag im neuen eBay-Forum geschrieben hatte.
Dies ist deshalb so bemerkenswert, weil die Zuordnung eines Mitgliedsnamen zu einer E-Mail-Adresse beispielsweise erlaubt, gefälschte Zweite-Chance- Angebote oder Phishing-E-Mails zu schicken; eine Möglichkeit, die eBay unter großem Aufwand zu verhindern versucht.
Dies ist deshalb so bemerkenswert, weil die Zuordnung eines Mitgliedsnamen zu einer E-Mail-Adresse beispielsweise erlaubt, gefälschte Zweite-Chance- Angebote oder Phishing-E-Mails zu schicken; eine Möglichkeit, die eBay unter großem Aufwand zu verhindern versucht.
Abgesehen davon, dass dies auch einen direkten Schaden für eBay selbst darstellt, ist die Preisgabe der E-Mail-Adresse neben dem Verstoß gegen die eBay-AGB auch eine eklatante Verletzung des Datenschutzes.
Man kann sich dies einfach verdeutlichen, wenn etwa das (fiktive) Mitglied » mamu_max_muster« mit der E-Mail-Adresse »max.mustermann@yahoo.de« identifiziert werden kann. Sollte Max in seinem Mitgliederprofil auch noch angegeben haben, dass er etwa in Berlin wohnt, lässt sich seine Anschrift mit hoher Wahrscheinlichkeit ermitteln.
Man kann sich dies einfach verdeutlichen, wenn etwa das (fiktive) Mitglied » mamu_max_muster« mit der E-Mail-Adresse »max.mustermann@yahoo.de« identifiziert werden kann. Sollte Max in seinem Mitgliederprofil auch noch angegeben haben, dass er etwa in Berlin wohnt, lässt sich seine Anschrift mit hoher Wahrscheinlichkeit ermitteln.
Da die Lücke derzeit noch nicht geschlossen ist, verzichten wir aus Sicherheitgründen zum jetztigen Zeitpunkt auf detailliertere Angaben über die Natur der Lücke; dies werden wir zu gegebener Zeit nachholen.
Kurze Zeit später stand fest, dass sich durch diese Sicherheitslücke zwar nicht von jedem eBay-Mitglied, aber doch von einer erheblichen Zahl die E-Mail-Adressen ausspähen lassen. Das Sicherheitsleck ist auch automatischer Auswertung zugänglich. Die dafür erforderliche Software ist ohne großen Aufwand in wenigen Minuten zu erstellen; Schätzungen zufolge kann der Gesamtdatenbestand der neuen Community von einem einzelnen Rechner innerhalb eines halben Tages durchsucht und ausgewertet werden.
Pikant ist hierbei, dass der Zugang zu dieser Lücke nicht an eine eBay-Mitgliedschaft gebunden ist und auch kein Einloggen erfordert. So haben sich die Mitglieder ihre „neue Gemeinschaft“ sicherlich nicht vorgestellt.
Update 24.10.2007
Die Funktion, die die hier beschriebene Sicherheitslücke enthielt, wurde gegen 10:00 Uhr komplett abgeschaltet und ist seit ungefähr 11:30 Uhr wieder verfügbar. Die beschriebene Sicherheitslücke ist nach den derzeitigen Erkenntnissen von falle-internet.de geschlossen, bleibt zu hoffen, dass sie noch nicht ausgenutzt wurde.
Jeder Forennutzer sollte nachprüfen, ob er eventuell selbst Opfer der Sicherheitslücke geworden ist:
Im author-Tag des Quelltextes der RSS-Nachrichten standen die E-Mail-Adressen der betroffenen Schreiber im Klartext. Die Anzeige der E-Mail-Adresse war beispielsweise mit dem Internet Explorer möglich.
