Datenschutzpanne bei eBay
Wer den HTML-Newsletter von eBay nicht korrekt angezeigt bekommt oder die Darstellung von HTML-Nachrichten ausgeschaltet hat, kann den Newsletter auch als Webseite betrachten. Wie falle-internet.de herausgefunden hat, können dabei jedoch durch kleine Manipulationen an der URL persönliche Daten anderer User offengelegt werden. Ändert man die Parameter in der URL lassen sich die Newsletter für andere Nutzer öffnen und Vorname und Name, Mitgliedsname und häufig auch die Bewertungspunktzahl herausfinden.
Via Skript könnte man die Daten im großen Stil auslesen und für einen Phishing-Angriff missbrauchen, um den Betrugsmails ein möglichst offizielles Aussehen zu verpassen. Pinkant daran: eBay weist seine Nutzer laut falle-internet.de regelmäßig darauf hin, dass die Nennung des Vor- und Nachnamen in Mails ein Hinweis auf deren Echtheit sei – schließlich hätten Spam- und Phishing-Versender auch diese Daten keinen Zugriff.
Falle-internet.de hat eBay und das Unternehmen Emarsys, auf dessen Server die Web-Versionen der Newsletter gespeichert sind, auf das Problem hingewiesen. (dd)