Hey eBay, wo bleibt die Aufklärung über dein Datenleck?!

eBay wurde Opfer eines Hacker-Angriffs. Das dürfte mittlerweile jeder mitbekommen haben. Okay, das kann jedem Unternehmen mal passieren. Schließlich ist es im Zeitalter der freien Internet-Überwachung schon beinahe alltäglich. Trotzdem sind solche Attacken immer wieder schmerzhaft und zeigen deutlich, wie verwundbar webbasierende Plattformen sein können. Justizminister Heiko Maas forderte mehr Transparenz und den besseren Schutz persönlicher Daten durch Internetanbieter. Wo war da jetzt die aufklärende Informationspolitik von eBay? Die gab’s nicht wirklich. Im Firmenblog veröffentlichte man einen nichtssagenden von der PR-Abteilung erdachten Text, welcher im Grunde so viel Substanz wie die Mayo zu meinen Pommes hat. Wir wissen nur, es wurden Daten aus einer Datenbank entwendet. Darunter Namen, Adressen, verschlüsselte Passwörter, Geburtsdaten und Telefonnummern. Daher auch meine Frage: Wann gedenkt eBay seine Nutzer richtig zu informieren und geeignete Gegenmaßnahmen einzuleiten?

eBay Inc. Pressemitteilung im Firmenblog
eBay Inc. Pressemitteilung im Firmenblog

Der Datendiebstahl alleine ist schon schlimm genug. Die mangelhafte Kommunikation seitens eBay mit seinen Kunden tut ihr übriges. Von 200 Millionen Kunden könnten möglicherweise 145 Millionen betroffen sein. Doch so ganz sicher ist das nicht, weil eBay keine genauen Informationen rausgibt. Also fischt man als Nutzer im trüben Wasser. Das Internetauktionshaus gibt nur einen Tipp: Passwörter ändern. Wow, darauf wäre ich im Leben nie gekommen! Am Samstag bekam ich dann auch mal eine E-Mail, mit eben jenem Hinweis. Das hatte ich natürlich schon am Mittwoch getan. Dabei stellte sich für mich allerdings eine Herausforderung. Mein Passwort konnte ich in den Kontoeinstellungen wechseln. Beim anschließenden Login funktionierte aber nur das alte Kennwort. Über die “Passwort vergessen”-Funktion klappte das Ändern endlich. Das finde ich dann echt prima, gerade wenn es um Sicherheit geht. Selbst nach dem Datenklau reißen die schlechten Nachrichten nicht ab.

Das Datenleck ist erst die Spitze des Eisbergs!

Seit 2 Monaten klafft auf der Webpräsenz eine deftige XSS-Lücke. eBay weiß davon, hat die Schwachstelle bis heute jedoch nicht geschlossen. Ganz toll, weiter so. Als Sahnehäubchen kommt noch eine Phishing-Welle hinzu, natürlich mit den erbeuteten Daten. Solltet ihr also eine Mail von eBay betreffend Käuferschutz bekommen, schaut besser zwei Mal hin! Ich bin sichtlich sauer, über die Art und Weise, wie eBay mit diesem Angriff umgeht und seine Kunden informiert. So nicht! Daraus werde ich meine Konsequenzen ziehen und meinen Account umgehend löschen. Es gibt noch andere Internetauktionshäuser und Onlinekaufhäuser. Die Forderung unserer Politiker Hacker-Attacken an eine staatliche Stelle melden zu müssen finde ich gerade an diesem prekären Beispiel sehr sinnvoll. Mag sein, dass das nicht zwangsläufig zu einer höheren Sicherheit führt, aber vielleicht zu einer verbesserten Informationspolitik bei solchen Angriffen. Bei ebay vermisst man das komplett. Ich fühle mich mehr als nur verhohnepiepelt.

Security (Quelle: Perspecsys Photos, Liz. CC BY SA 2.0)
Security (Quelle: Perspecsys Photos, Liz. CC BY SA 2.0)

Als der Social-Media-Dienst Buffer im November 2013 gehacked wurde, haben sie wirklich alles richtig gemacht. Sie legten eine sehr deutliche Sprache an den Tag. Alle Nutzer erfuhren recht genau, was passiert war. Die Lücke korrigierte man rasch und ergriff sofort Gegenmaßnahmen. Diese Kombination brachte schließlich ein Happy End. Kein Untergang, sondern stärker denn je. So meisterte auch Bitly, nach dem Hack Anfang Mai, die Situation erfolgreich. Transparenz ist ein extrem wichtiger Punkt. Nur so kann das Vertrauen der User wiedergewonnen werden. eBay lässt all das weitestgehend vermissen. Ich bin mal gespannt, was noch ans Tageslicht kommt. Vermutlich wird dies nur der Anfang gewesen sein. Interessant ist ja genauso, was die Datendiebe mit ihrer Beute anstellen. Eigentlich sollte eBay alleine schon wegen der zwei Monate alten XSS-Lücke eins auf den Deckel bekommen, vor allem weil sie davon wussten. Ich kann nicht begreifen, wie Unternehmen offensichtliche Sicherheitslücken einfach bestehen lassen. N24, Stern.de und Co. sind dafür ebenfalls perfekte Beispiele.

Ich wünsche mir zukünftig bei Hacker-Angriffen oder Sicherheitslücken von den Betroffenen rasches Handeln und eine transparente Informationspolitik. Leider wird es wohl reines Wunschdenken bleiben. Wie ist eure Haltung zum eBay-Hack? Schreibt mir eure Meinung in die Kommentare.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.