Archiv

eBay-Kunden
Forscher entdecken neue Daten-Lücke

Vor wenigen Monaten erbeuteten Hacker Millionen Datensätze der Online-Auktionsplattform eBay. Doch auch ohne einen Einbruch in die Systeme sind die Nutzer vor einer Ausspähung ihres Kaufverhaltens nicht sicher, wie US-Forscher nun bewiesen.

Von Jan Rähm |
    Firmenlogo von eBay am Firmensitz, einem mehrstöckigen Haus
    Die Zentrale von eBay im US-amerikanischen San Jose (picture alliance / dpa / ebay)
    3, 2, 1, meins – so schnell wie im Werbespruch der Online-Auktionsplattform eBay ein Nutzer eine Ware ersteigert, so schnell kann ein Angreifer auch dessen Kaufs- und Verkaufshistorie ausspähen. Herausgefunden haben das Tehila Minkus und Keith Ross von der New York University. Ihren Analysen zufolge betrifft die Lücke im Schutz der Privatsphäre mehrere Tausend Nutzer der Plattform. Wie der Angriff, den die beiden entwickelt haben, stark vereinfacht funktioniert, erklärt Keith Ross:
    "Die Kernidee ist: Wir nutzen die Rückmeldungen von Käufern und Verkäufern in eBay. Die Feedback-Seiten geben Auskunft, was ein Nutzer ge- und verkauft hat. eBay versucht, ein wenig vorzusorgen. So kann man nicht direkt sehen, was jemand gekauft hat. Man sieht nur wann etwas gekauft wurde und den Namen des Verkäufers. Aber dessen Feedback-Seite führt die Waren auf. Und nun braucht man beide Seiten nur zusammenzubringen und kann eine lange Liste der Kaufhistorie erstellen."
    Rund 130.000 eBay-Nutzer konnten die Forscher so ausspähen. Um zu verdeutlichen, welche Relevanz ein solcher Angriff auf die Privatsphäre hat, wählten sie drei sehr deutliche Beispielprodukte, um danach zu suchten: Waffenzubehör, das auf Waffenbesitz schließen lässt, Schwangerschafts- und HIV-Tests. Sie wurden fündig: Rund 230.000 mutmaßliche Waffenbesitzer und knapp 28.000 Käufer von Schwangerschaftstests. 221 eBay-Nutzer hatten eine HIV-Test-Ausrüstung bestellt.
    Kurzer Umweg über Facebook
    Eine große Anzahl der gefundenen Käufer konnten die Forscher darüber hinaus konkreten Personen zuordnen. Bei manchen steckte der echte Name schon im Benutzernamen, bei anderen gingen die Forscher einen Umweg:
    "Wir ließen alle Benutzernamen durch eine Facebook-Schnittstelle laufen und fanden für 17 Prozent der eBay-Nutzer passende Facebook-Einträge. Da waren zwar auch Duplikate dabei, also bei sehr geläufigen Namen, aber trotzdem konnten wir den Kreis der potenziellen Nutzer eingrenzen."
    Noch bevor sie die Untersuchung veröffentlichten, informierten Tehila Minkus und Keith Ross das betroffene Unternehmen.
    "Sie sagten, sie wollten sich das genauer anschauen. Aber soweit wir wissen, hat sich bis heute nichts verändert."