Über eine Sicherheitslücke beim Internet-Auktionshaus Ebay sollen Kriminelle dem Bericht einer Verbraucherinitiative zufolge detaillierte Daten von Ebay-Nutzern wie Name, Wohnort, Bankverbindungen und E-Mail-Adresse abgreifen können. Dabei reiche es aus, dass ein ahnungsloser Besucher sich einlogge und eine Angebotsseite aufrufe, berichtete die Initiative «Falle Internet» am Mittwoch.

Nach Angaben von Ebay hat die beschriebene Schwachstelle allerdings «keine Relevanz». «Wir setzen uns seit geraumer Zeit mit dieser Problematik auseinander», sagte Sprecherin Maike Fuest. Dem Unternehmen sei kein einziger Fall bekannt, in dem die beschriebene Schwachstelle über das weit verbreitete Flash-Programm «ActionScript» ausgenutzt worden wäre.

Die von «Falle Internet» beschriebene Möglichkeit des Missbrauchs entsteht durch das Einbinden von aktiven Inhalten wie Flash-Animationen auf den Auktionsseiten. Über solche aktiven Inhalte ließen sich mit Hilfe von sogenannten Schadprogrammen Daten ausspähen und manipulieren. Dieses sogenannte Cross-Site-Scripting sei ein bereits seit Jahren bekanntes Problem, sagte Daniel Bachfeld, Redakteur des Fachmagazins «c't».

Nach einem ähnlichen Fall von möglichem Missbrauch hatte Ebay die Nutzung solcher aktiver Inhalte mit JavaScript oder Flash im September 2005 an bestimmte Kriterien geknüpft. Seither dürfen nur als vertrauenswürdig geprüfte Nutzer wie Power-Seller mit mindestens 500 Bewertungen oder PayPal-Mitglieder solche Elemente in ihre Seiten einbinden.

Der nicht eingetragene Verein «Falle Internet» hält diese Hürden für zu niedrig und fordert von dem Auktionshaus, interaktive Flash-Inhalte generell vom Marktplatz zu verbannen. «Hacker haben über Phishing-Mails genügend Ebay-Accounts», sagte Burkhard Müller von «Falle Internet».

Ebay-Sprecher Nerses Chopurian schätzt einen möglichen Missbrauch über den geschilderten Weg dagegen als eher theoretisch ein. Eine Herausforderung für die Sicherheit stellten viel eher ganz normale Schadprogramme wie Trojaner dar, sagte Chopurian. «Der Aufwand wäre für einen Verbrecher sehr hoch, das können Sie mit normalem Phishing viel effektiver haben.»

Ebay setzt als zusätzliche Schutzmaßnahme nach eigenen Angaben bereits Technologien ein, um solche Schadsoftware zu erkennen und entsprechend manipulierte Angebote zu entfernen. (dpa)