Ebay hat Probleme mit der Forensicherheit - UPDATE

Vor wenigen Tagen haben wir noch sehr skeptisch und zurückhaltend über mögliche Sicherheitslücken im Ebay-Forum berichtet. Inzwischen ist klar, dass das Online-Auktionshaus ein weit größeres Problem hat als angenommen und dass es sich nicht um einen einzelnen per Phishing ausspionierten Account handeln kann.

Vladuz, der Hacker, der sich bereits vor zwei Tagen als Pinkliner (sprich: Ebay-Mitarbeiter) in einem Thread betätigt hat, ist wieder da – obwohl der Account, über den er angeblich gekommen ist, gesperrt wurde und obwohl wahrscheinlich nach dem Vorfall sämtliche Ebay-Mitarbeiter zum Wechseln ihres Passwortes angehalten wurden. Somit ist die Erklärung, ein einzelner Account sei per Phishing ausspioniert worden, hinfällig.

Der Hacker machte sich öffentlich über die Sicherheitsvorkehrungen bei Ebay lustig und veröffentlichte ein weiteres Bild mit Accountansichten und Login-Daten von amerikanischen Ebay-Mitarbeitern. Ob diese echt sind oder ob es sich um einen Fake handelt, lässt sich nicht zweifelsfrei klären – Ebay selbst macht hierzu keine Angaben. Sicher ist: Die Accounts gibt es wirklich und sie sind regulär in den USA registriert. Fast alle Accounts weisen keine oder eine niedrig einstellige Zahl an Transaktionen aus. Selbst wenn es sich, wie Ebay in einem Gespräch betonte, nur um Accounts handelt, die keine besonderen Rechte haben, könnte man hierüber Fake-Auktionen einrichten und so einen beträchtlichen Schaden anrichten.