979887

eBay-Newsletter ermöglicht das Auslesen persönlicher Daten

30.10.2007 | 13:15 Uhr |

Eine kürzlich von der Verbraucherschutzseite falle-internet.de aufgedeckte Schwachstelle bei eBay zeigt, wie es möglich ist, über eine personalisierte Webseite für eBay-Kunden an den Mitgliedsnamen und den vollständigen Namen eines eBay-Mitglieds zu gelangen. Schuld daran soll eine Datenpanne beim österreichischen E-Mail-Dienstleister Emarsys AG sein.

eBay verschickt millionenfach einen firmeneigenen Newsletter, doch da nicht alle Kunden die Darstellung von HTML in ihrem E-Mailprogramm aktiviert haben, können Mitglieder per Mausklick die Newsletter zusätzlich auch auf einer im Internet hinterlegten Seite abrufen. Wie die Verbraucherschutzseite herausgefunden hat, lassen sich die Webadressen so manipulieren, dass auch Unbefugte personalisierte E-Mails anderer Nutzer abrufen können. Der Newsletter enthalte die Anrede, den Namen, Vornamen und Mitgliedsnamen und oft auch die Bewertungspunktezahl des eBay-Nutzers. Besonders brisant sei die Datenpanne, da eBay selbst die Nennung des Vor- und Nachnamens als Hinweis auf die Echtheit der Mail bezeichne. Erst im September 2007 deckte falle-internet.de eine Datenpanne auf, die Hackern Zugriff auf PayPal-Daten von eBay-Mitgliedern gewährte. eBay und die Emarsys AG haben der Verbraucherseite zufolge mittlerweile auf das Problem reagiert: Eine zuvor nicht aktivierte Sicherheitsfunktion soll das automatische Auslesen der Daten nun verhindern. Problematisch sei allerdings nach wie vor, dass die Newsletter noch immer offen im Netz stehen.

0 Kommentare zu diesem Artikel
979887