Ebay: Behörden wollen Datendiebstahl untersuchen

E-CommerceMarketingPolitikRechtSicherheitWorkspaceZubehör
Ebay auf Tablet (Bild: Ebay)

Die US-Handelsaufsicht und die britische Datenschutzbehörde haben Untersuchungen angekündigt. Ein Ebay-Manager erklärt die späte Aufdeckung der Hackerattacke damit, dass man das Ausmaß erst nicht erkannt habe. Seine Nutzer informiert das Online-Auktionshaus immer noch via E-Mail und warnt sie vor Phishing-Angriffen.

Behörden in den USA und Europa wollen den Datendiebstahl bei Ebay analysieren, von dem geschätzte 145 Millionen Anwender betroffen sind. Neben der US-Handelsaufsicht FTC kündigten auch die Bundesstaaten Connecticut, Florida und Illinois eine gemeinsame Untersuchung an. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) plant ebenfalls eine formelle Untersuchung.

ebay-sanjose
Firmenschild des Online-Auktionshauses vor Ebays Zentrale in San Jose (Bild: Ebay).

ICO-Chef Christopher Graham bedauerte allerdings, nicht sofort handeln zu können. Grund sind die veralteten und komplexen Datenschutzgesetze. Seine Behörde müsse zunächst die Datenschutzbehörde in Luxemburg kontaktieren, da sich die europäische Zentrale von Ebay dort befindet. Zwar seien Millionen britische Bürger betroffen, aber die Resultate einer Untersuchung seien letztendlich nutzlos, wenn rechtliche Formalitäten nicht berücksichtigt würden.

Im Gespräch mit dem Guardian geizte Graham nicht mit Kritik am Online-Auktionshaus. “Diese Geschichten passieren immer wieder und wieder und wieder, bis die Firmen aufwachen und erkennen, dass persönliche Informationen nicht ihre Spielsachen sind”, sagte er. “Es sind unsere Informationen, und sie müssen geschützt werden.”

“Wir haben laufende Beziehungen zu und haben von uns aus eine Anzahl von einzelstaatlichen, bundesstaatlichen und internationalen Regulierungs- sowie Ermittlungsbehörden kontaktiert”, erklärte ein Ebay-Sprecher. “Wir arbeiten in jeder Hinsicht und vorbehaltlos mit ihnen zusammen, was diesen Zwischenfall angeht.”

Sicherheitsexperten kritisieren Ebay hauptsächlich dafür, seine Nutzer zu spät informiert zu haben. Erst in der vergangenen Woche rief das Unternehmen sie zur Änderung ihres Passworts auf, obwohl sich die Hackerattacke schon Ende Februar zugetragen hatte.

Durch geklaute Mitarbeiter-Log-ins verschafften sich die Angreifer Zugriff auf eine Datenbank mit Kundendaten, in der neben Benutzernamen auch E-Mail- und Postadressen der Nutzer sowie deren Telefonnummern und Geburtsdaten abgelegt waren. Im Gegensatz zu den Passwörtern waren die restlichen Daten offenbar unverschlüsselt gespeichert worden. Ebay zufolge gab es bisher jedoch noch keinen Anstieg an betrügerischen Aktivitäten auf seiner Handelsplattform.

“Lange Zeit haben wir nicht geglaubt, dass jegliche Daten von Ebay-Kunden kompromittiert wurden”, beteuert Ebay-Manager Devin Wenig gegenüber der Nachrichtenagentur Reuters. Als dem Unternehmen dies bewusst wurde, habe Ebay die Hackerattacke allerdings “rasch enthüllt”.

Zu der Frage, wann genau dem Online-Auktionshaus schließlich klar war, dass die Angreifer auf Kundeninformationen zugreifen konnten, wollte er sich hingegen nicht äußern. Zudem blieb die Frage unbeantwortet, wie gut seiner Einschätzung nach die Sicherheitspraxis des Unternehmens vor dem Angriff war. Wenig versprach jedoch verstärkte Sicherheitsbemühungen, um “sicherzustellen, dass es nicht wieder geschieht.”

Manche Kunden klagten über Probleme, als sie Ebays Empfehlung folgten und ihr Passwort ändern wollten. Das Unternehmen versicherte aber, es gebe keine technischen Schwierigkeiten mit der Zurücksetzen-Funktion, obwohl die Website zeitweise stark ausgelastet sei.

Das Online-Auktionshaus ist außerdem immer noch damit beschäftigt, die betroffenen Kunden per E-Mail zu informieren. “Sie können sich vorstellen, dass eine große Zahl zusammenkommt, wenn es um alle geht, die jemals mit Ebay zu tun hatten”, sagte David Wenig. “Wir werden also allen eine E-Mail schicken, aber es ist einfach nicht möglich, sie gleichzeitig zu verschicken.”

Ebay warnte in diesem Zusammenhang ausdrücklich vor Phishing-Attacken. Seine offiziellen Mails beinhalteten eine Aufforderung zum Zurücksetzen des Passworts, jedoch keine Links. “Jede E-Mail mit Links ist ein Phishing-Versuch”, sagte ein Sprecher.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen