Bankdaten von eBay-Kunden unzureichend geschützt

Nach Angaben des Buchautors und Online-Auktions-Experten Axel Gronen aus Köln gibt es bei eBay eine Sicherheitslücke, die den Zugriff auf Kontonummern und Namen von Verkäufern auf der Online-Auktionsplattform ermöglicht. Als Anbieter kann man seine Bankdaten hinterlegen, die dem Käufer dann bei Auktionsabwicklung zum Überweisen automatisch übermittelt werden. Dazu zählen Klarname, Kontonummer und Bank.

Technisch bedient sich eBay dazu einer URL, die bei Kaufabwicklung generiert wird. Aus dieser URL kann man in Verbindung mit einem anderen Trick einen Algorithmus erstellen, der eine Verknüpfung von Mailadresse oder eBay-Namen zur Kontoverbindung ermöglicht, so Gronen im Gespräch mit heise online. Auf seiner Website Wortfilter weist er auf ein von Elmar Denkmann erstelltes Programm "BankHai" hin, das von jedem eBay-Kunden, die Bankdaten herausfiltert, sofern diese hinterlegt sind. Dies wurde eBay bereits Mitte Januar gemeldet, bisher habe man aber nicht reagiert. Weitere Details nennen oder das Programm verbreiten will Gronen nicht, da er nicht an einer Ausnutzung, sondern am Abstellen der Sicherheitslücke interessiert sei. Wer als Verkäufer verhindern will, dass seine Bankdaten öffentlich zugänglich sind, solle bis zur Behebung dieser Sicherheitslücke auf die automatische Kaufabwicklung verzichten.

Eine unmittelbare Gefahr besteht allerdings nicht, da die Bankdaten alleine ja noch keinen Zugriff auf ein Konto erlauben. Allerdings kann man mit ihnen Beträge per Lastschrift abbuchen. Betroffene können sich diese allerdings mit Hilfe Ihrer Bank wieder zurückholen -- jedenfalls sofern sie die Abbuchung bemerken und das Konto des Abbuchers noch existiert. (jes/c't)
http://www.heise.de/newsticker/data/jes-09.03.03-001/