| "Autor" |
Für die Ebayer... |
|
|
|
geschrieben am: 30.10.2007 um 21:08 Uhr
|
|
Datenschutzprobleme mit Newsletter:
Millionen von eBay-Identitäten offen im NetzGeändert am 29.10.2007 Die Sicherheitsprobleme bei eBay scheinen nicht abzureißen. Betroffen sind diesmal die Empfänger der millionenfach versendeten eBay-Newsletter. Im Internet sind deren Namen, Vornamen und die jeweils zugehörigen eBay-Mitgliedsnamen abrufbar. Wie konnte es zu dieser Panne kommen? eBay verschickt an seine Kunden Newsletter in bunt gestalteter HTML-Form. Da allerdings nicht alle Empfänger die HTML-Funktion im E-Mailprogramm aktiviert haben, werden sämtliche Newsletter zusätzlich als Website im Internet hinterlegt. Per Mausklick können die Newsletter-Seiten aus der E-Mail heraus aufgerufen werden. Beide Versionen enthalten in der Anrede den Namen, Vornamen und Mitgliedsnamen und häufig auch die Bewertungspunktzahl des eBay-Nutzers. Wie falle-internet.de herausgefunden hat, lassen sich mit geringen Manipulationen an den hinterlegten Webadressen (URL) die personalisierten E-Mails anderer Nutzer abrufen. Wegen fehlender Verschlüsselung ist fast der gesamte Datenbestand auslesbar. In folgender Form sind die Daten im Internet abgelegt: Im Kopf der Newsletter ist neben dem Namen des eBay-Accounts auch der Vor- und Nachname des Inhabers aufgeführt:
Um die hinterlegten Newsletter anderer Nutzer aufzurufen, muss nur ein Teil der Webadresse variiert werden. Hier eine originale Adresse:
Link
Der URL enthält drei variable Blöcke (unterstrichen), dessen Einzelzeichen lediglich getauscht werden brauchen, bzw. deren Hexadezimalwerte fortgeschrieben werden können:
Link
Link
Link
Link
...
Link
Link
Mit jeder dieser fortlaufenden Kombinationen können weitere Newsletter aufgerufen werden.
Nachtrag (29.10.2007)
eBay und die emarsys eMarketing Systems AG wurden von falle-internet.de über die beschiebenen Datenschutz - Probleme informiert und haben reagiert. Beim Versuch, Newsletter aus dem oben beschriebenen Bereich abzurufen, wird inzwischen eine Fehlermeldung angezeigt: »mail momentarily not availble, please try again later.«. Da die an die eBay-Mitglieder versendeten - und nicht durch Manipulation erhaltenen - Nachrichten aber nach wie vor abgerufen werden können, darf vermutet werden, dass hier eine vorhandene Sicherheitsfunktion (beispielsweise eine Prüfziffernabfrage) zuvor nicht aktiviert war. Die mittlerweile vermutlich reaktivierte Funktion dürfte nun zwar das automatisierte Auslesen nach dem oben beschriebenen Muster verhindern, ändert jedoch nicht die Tatsache, dass die Newsletter nach wie vor offen im Netz stehen. |
Gruß MC
Link |
|
|
|
|
|
|
Top
|
