Datenschutzpanne bei eBay

Big DataData & StorageE-CommerceMarketingPolitikRechtSicherheitSicherheitsmanagement

Über den Newsletter des Auktionshauses lassen sich persönliche Daten anderer Nutzer herausfinden und beispielsweise für Phishing-Attacken missbrauchen.

Wer den HTML-Newsletter von eBay nicht korrekt angezeigt bekommt oder die Darstellung von HTML-Nachrichten ausgeschaltet hat, kann den Newsletter auch als Webseite betrachten. Wie falle-internet.de herausgefunden hat, können dabei jedoch durch kleine Manipulationen an der URL persönliche Daten anderer User offengelegt werden. Ändert man die Parameter in der URL lassen sich die Newsletter für andere Nutzer öffnen und Vorname und Name, Mitgliedsname und häufig auch die Bewertungspunktzahl herausfinden.

Via Skript könnte man die Daten im großen Stil auslesen und für einen Phishing-Angriff missbrauchen, um den Betrugsmails ein möglichst offizielles Aussehen zu verpassen. Pinkant daran: eBay weist seine Nutzer laut falle-internet.de regelmäßig darauf hin, dass die Nennung des Vor- und Nachnamen in Mails ein Hinweis auf deren Echtheit sei – schließlich hätten Spam- und Phishing-Versender auch diese Daten keinen Zugriff.

Falle-internet.de hat eBay und das Unternehmen Emarsys, auf dessen Server die Web-Versionen der Newsletter gespeichert sind, auf das Problem hingewiesen. (dd)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen