Wie gut werden eBay-Nutzer eigentlich vor Missbrauch beschützt? Bei falle-internet.de wurde Ende Januar berichtet, dass man die eBay-Mitgliedskonten seit November 2013 „ganz einfach kapern“ könne. Markus Schwinn schreibt, es nütze herzlich wenig, sollten die Benutzer die ausgewiesenen Experten-Tipps zur Passwortsicherheit beherzigen. Der Grund dafür ist einfach. Zur Erlangung des aktuellen Passworts reicht es seit Ende Januar aus, Zugriff auf das entsprechende E-Mail-Konto zu haben. Während man früher mindestens zwei von vier Sicherheitsfragen korrekt beantworten musste, ist dies vielfach nicht mehr nötig. eBay schaffte die obligatorische Beantwortung der Sicherheitsfragen ab. Wer sein Passwort vergessen hat, lässt sich von eBay einen Link zuschicken, mit dem er das Passwort zurücksetzen kann. Den Link erhält aber nicht nur der Eigentümer des E-Mail-Kontos. Jeder Cyberkriminelle, der den E-Mail-Account hacken konnte, kann sein Treiben nun auf das Internetauktionshaus ausdehnen. Für die Übernahme des eBay-Kontos muss der Hacker nicht einmal mehr wissen, welchen Namen sein Opfer bei eBay benutzt. Sofern die gekaperte E-Mail-Adresse bei eBay verwendet wird, klappt auch die Übernahme des eBay-Kundenkontos.
Mangelnder Datenschutz Branchenstandard?
Die lückenhafte Passwortsicherheit ist allerdings keine technisches Problem. Die Problematik ist der eBay Inc. schon länger bekannt. Gegenüber falle-internet.de teilte die deutsche Tochterfirma mit, dass man sich aus zeitlichen Gründen außerstande sehe, den Artikel bis zur Veröffentlichung zu kommentieren.
Maike Fuest, Head of Communications eBay Germany, gab gestern gegenüber Netzpiloten bekannt, man möchte den Anwendern einerseits keine unnötigen „Hürden aufstellen„, um wieder auf ihr Konto zugreifen zu können. Gleichzeitig sei es „ihr Ziel, Missbrauchsversuche zu identifizieren und zu verhindern„. Dafür würde nun ein abgestuftes Sicherheitsverfahren eingesetzt. Bei unauffälligen Konten ist die simple Passwortänderung per E-Mail möglich. „Bei Mitgliedskonten, die gemäß unserer Risikomanagement-Systeme ein höheres Missbrauchsrisiko aufweisen, setzen wir zusätzliche Sicherheitsmaßnahmen ein„. Werden Auffälligkeiten festgestellt, müssen Sicherheitsfragen beantwortet oder eine PIN telefonisch übermittelt werden.
Es hängt demnach alles von der automatischen Einschätzung der Sicherheits-Software ab. Leider wurde nicht in der Antwort ausgeführt, nach welchen Kriterien eBay die Konten untersucht. Von daher ist unklar, in welchem Fall ein Konto als harmlos oder als riskant eingestuft werden soll.
Die Sprecherin der eBay International AG teilte uns ferner mit, das Vorgehen entspreche dem „Branchenstandard„. Soll heißen, bei den E-Commerce-Anbietern Amazon, Zalando & Co. arbeitet man nach dem gleichen System. „Dabei gehen die Anbieter – wie auch wir – davon aus, dass im Normalfall kein Dritter Zugriff auf das E-Mail-Konto eines Nutzers haben sollte„.
Verantwortung abgeschoben?
Für den Penetrationstester Matthias Ungethüm klingt das Statement in etwa so, dass etwas nicht sein darf, weil es nicht sein kann. Mit diesem Vorgehen lege man einen Teil der Verantwortung in die Hände der E-Mail-Anbieter, statt sich selbst um die Absicherung der eigenen Kunden zu kümmern. „Der Hack eines eBay-Kontos hängt nicht mehr von eBay selbst oder dem Verhalten des Nutzers ab, sondern ebenso von den Sicherheitsmaßnahmen des E-Mail-Anbieters„, kritisiert Ungethüm das Vorgehen. Die Sorgfaltspflicht zur Absicherung der eigenen Kunden dürfe man nicht von sich weisen.
Komfort versus IT-Sicherheit
Wer das Vorgehen verurteilt, muss sich gleichzeitig vor Augen halten, dass E-Commerce-Plattformen nach US-amerikanischem Vorbild vor allem eines sein sollen: benutzerfreundlich! Der Versuch die Bequemlichkeit der Kunden und ihre Sicherheit in Einklang zu bringen, ist aber ganz offensichtlich misslungen. Hoffen wir, dass das BSI nicht schon bald das Auftauchen der nächsten geklauten E-Mail-Datenbank bekannt geben muss.
Image (adapted) “ebay“ by cytech (CC BY 2.0)
Artikel per E-Mail verschicken
Schlagwörter: Cyberkriminalität, ebay, Nutzerdaten, Passwörter, sicherheit
4 comments
Zitat: “ Die Sprecherin der eBay International AG teilte uns ferner mit, das Vorgehen entspreche dem „Branchenstandard“. Soll heißen, bei den E-Commerce-Anbietern Amazon, Zalando & Co. arbeitet man nach dem gleichen System.“
Dabei wird von eBay aber vergessen, dass über die gehackten Konten Wäre eingestellt und verkauft werden – und die Käufer dann zum überweisen ein betrügerische Konto genannt bekommen. Das ist der gravierende Unterschied zu Amazon und Zalando!
Da passt dieser Artikel wie die Faust aufs Auge!
Angriff auf Yahoo-Mail-Konten
…..
Die Cybergangster sollen vielmehr gestohlene Nutzerdaten und Passwörter aus einer anderen Quelle für ihre Angriffe genutzt haben.
Die gestohlenen Zugangsdaten werden nach den bisherigen Informationen offenbar dazu genutzt, systematisch die Mail-Konten der Opfer zu durchsuchen, um so zum Beispiel an sensible Daten zu gelangen, die zu kriminellen Zwecken genutzt werden könnten.
Mir schrieb jemand, es sei doch nur konsequent die sowieso per Social Engineering leicht zu überwindenden Sicherheitsfragen abzuschalten. Das mag so sein. Aber in dem Fall müsste man andere Sicherheitsvorkehrungen einsetzen, die die Tätigkeit der Cyberkriminellen erschwert.
Wieso verschicken die e-Commerce-Anbieter die Passwörter nicht auf das Handy des Kontoinhabers? Jeder hat doch sein Smartphone überall dabei. Dass auch das Handy neben dem E-Mail-Account gestohlen wird, ist sehr unwahrscheinlich. Transaktionsnummern für Online-Banking werden doch auch mittlerweile per mTAN-Verfahren verschickt.
Das Handy in den Sicherheitsmechanismus mit einzubeziehen mag zwar sicherer sein, aber eigentlich will ich meine Handynummer nicht bei ebay, facebook etc. hinterlegt haben. Davon ab, dass es auch leicht war die Handy-Nummer zu kapern, um SMS mitzulesen, wie kürzlich in einem Artikel zum Thema Online-Banking-Betrug zu lesen war.