Computer und Kommunikation /

 

eBay-Kunden Forscher entdecken neue Daten-Lücke

Von Jan Rähm

Firmenlogo von eBay am Firmensitz, einem mehrstöckigen Haus
Die Zentrale von eBay im US-amerikanischen San Jose (picture alliance / dpa / ebay)

Vor wenigen Monaten erbeuteten Hacker Millionen Datensätze der Online-Auktionsplattform eBay. Doch auch ohne einen Einbruch in die Systeme sind die Nutzer vor einer Ausspähung ihres Kaufverhaltens nicht sicher, wie US-Forscher nun bewiesen.

3, 2, 1, meins – so schnell wie im Werbespruch der Online-Auktionsplattform eBay ein Nutzer eine Ware ersteigert, so schnell kann ein Angreifer auch dessen Kaufs- und Verkaufshistorie ausspähen. Herausgefunden haben das Tehila Minkus und Keith Ross von der New York University. Ihren Analysen zufolge betrifft die Lücke im Schutz der Privatsphäre mehrere Tausend Nutzer der Plattform. Wie der Angriff, den die beiden entwickelt haben, stark vereinfacht funktioniert, erklärt Keith Ross:

"Die Kernidee ist: Wir nutzen die Rückmeldungen von Käufern und Verkäufern in eBay. Die Feedback-Seiten geben Auskunft, was ein Nutzer ge- und verkauft hat. eBay versucht, ein wenig vorzusorgen. So kann man nicht direkt sehen, was jemand gekauft hat. Man sieht nur wann etwas gekauft wurde und den Namen des Verkäufers. Aber dessen Feedback-Seite führt die Waren auf. Und nun braucht man beide Seiten nur zusammenzubringen und kann eine lange Liste der Kaufhistorie erstellen."

Rund 130.000 eBay-Nutzer konnten die Forscher so ausspähen. Um zu verdeutlichen, welche Relevanz ein solcher Angriff auf die Privatsphäre hat, wählten sie drei sehr deutliche Beispielprodukte, um danach zu suchten: Waffenzubehör, das auf Waffenbesitz schließen lässt, Schwangerschafts- und HIV-Tests. Sie wurden fündig: Rund 230.000 mutmaßliche Waffenbesitzer und knapp 28.000 Käufer von Schwangerschaftstests. 221 eBay-Nutzer hatten eine HIV-Test-Ausrüstung bestellt. 

Kurzer Umweg über Facebook 

Eine große Anzahl der gefundenen Käufer konnten die Forscher darüber hinaus konkreten Personen zuordnen. Bei manchen steckte der echte Name schon im Benutzernamen, bei anderen gingen die Forscher einen Umweg:

"Wir ließen alle Benutzernamen durch eine Facebook-Schnittstelle laufen und fanden für 17 Prozent der eBay-Nutzer passende Facebook-Einträge. Da waren zwar auch Duplikate dabei, also bei sehr geläufigen Namen, aber trotzdem konnten wir den Kreis der potenziellen Nutzer eingrenzen."

Noch bevor sie die Untersuchung veröffentlichten, informierten Tehila Minkus und Keith Ross das betroffene Unternehmen.

"Sie sagten, sie wollten sich das genauer anschauen. Aber soweit wir wissen, hat sich bis heute nichts verändert."

Beitrag hören

 
 
Dradio Audio
Kein Audio aktiv
 
 
 
 
 

Für dieses Element wird eine aktuelle Version des Flash Players benötigt.

Audiobeitrag laden

Computer und Kommunikation

Soziale NetzwerkeFacebook will auch in die Unternehmen

Das Online-Netzwerk Facebook entwickelt nach einem Bericht der "Financial Times" ein Angebot für die Kommunikation innerhalb von Unternehmen. Auf der Plattform sollen sich Mitarbeiter untereinander austauschen und gemeinsam an Dokumenten arbeiten können. Der neue Dienst soll “Facebook@Work” heißen, was verbirgt sich dahinter?

Digitales Logbuch Hunde-Handy

Veraltete Software "Das kann ein Unternehmen ruinieren"