Behörden untersuchen Datenklau bei Ebay

Die US-Handelsaufsicht FTC, mehrere US-Bundesstaaten sowie die britische Datenschutzbehörde ICO kündigen eigene Untersuchungen an. "Lange Zeit haben wir nicht geglaubt, dass jegliche Daten von Ebay-Kunden kompromittiert wurden", erklärt ein Ebay-Manager die späte Enthüllung des Hackerangriffs. Das Online-Auktionshaus informiert seine Nutzer noch immer per E-Mail - und warnt in diesem Zusammenhang vor Phishing-Versuchen.

Behörden in den USA und Europa wollen den Datenklau bei Ebay untersuchen, von dem geschätzte 145 Millionen Nutzer betroffen sind. Neben der US-Handelsaufsicht FTC kündigten die Bundesstaaten Connecticut, Florida und Illinois eine gemeinsame Untersuchung an. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) bezeichnete den Zwischenfall als „sehr ernsthaft“ und plant ebenfalls eine formelle Untersuchung.

Firmenschild vor Ebays Zentrale in San Jose (Bild: Ebay)

ICO-Chef Christopher Graham bedauerte jedoch, aufgrund veralteter und komplexer Datenschutzgesetze nicht sofort handeln zu können. Seine Behörde müsse erst mit der Datenschutzbehörde in Luxemburg Verbindung aufnehmen, weil sich die europäische Zentrale von Ebay dort befindet. Zwar seien Millionen britische Bürger betroffen, aber die Ergebnisse einer Untersuchung seien letztlich wertlos, wenn rechtliche Formalitäten nicht beachtet würden. Im Gespräch mit dem Guardian sparte Graham nicht an Kritik am Online-Auktionshaus. „Diese Art von Geschichten passieren immer wieder und wieder und wieder, bis die Firmen aufwachen und erkennen, dass persönliche Informationen nicht ihre Spielsachen sind“, sagte er. „Es sind unsere Informationen, und sie müssen geschützt werden.“

„Wir haben laufende Beziehungen zu und haben von uns aus eine Anzahl von einzelstaatlichen, bundesstaatlichen und internationalen Regulierungs- sowie Ermittlungsbehörden kontaktiert“, erklärte ein Ebay-Sprecher. „Wir arbeiten in jeder Hinsicht und vorbehaltlos mit ihnen zusammen, was diesen Zwischenfall angeht.“

Sicherheitsexperten kritisieren Ebay vor allem dafür, seine Nutzer erst sehr spät informiert zu haben. Erst in der letzten Woche rief es sie zur Passwortänderung auf, obwohl sich der Hackerangriff bereits Ende Februar ereignet hatte. Durch gestohlene Mitarbeiter-Log-ins verschafften sich die Angreifer Zugang zu einer Datenbank mit Kundendaten, in der neben Benutzernamen auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummern und Geburtsdaten gespeichert waren. Anders als die Passwörter waren die übrigen Informationen offenbar unverschlüsselt abgelegt. Laut Ebay kam es bisher noch zu keinem Anstieg betrügerischer Aktivitäten auf seiner Handelsplattform.

„Lange Zeit haben wir nicht geglaubt, dass jegliche Daten von Ebay-Kunden kompromittiert wurden“, beteuerte Ebay-Manager Devin Wenig gegenüber Reuters. Als das klar wurde, habe Ebay den Hackerangriff jedoch „rasch enthüllt“. Nicht äußern wollte er sich dazu, wann die Firma schließlich realisierte, dass die Angreifer auf Kundendaten zugreifen konnten. Unbeantwortet blieb auch die Frage, wie gut nach seiner Einschätzung die Sicherheitspraxis des Unternehmens vor der Attacke war. Wenig versprach aber verstärkte Sicherheitsbemühungen, um „sicherzustellen, dass es nicht wieder geschieht.“

Manche Kunden beschwerten sich über Schwierigkeiten, als sie Ebays Empfehlung folgten und ihr Passwort ändern wollten. Das Unternehmen versicherte jedoch, es gebe keine technischen Probleme mit der Zurücksetzen-Funktion, obwohl die Site manchmal stark ausgelastet sei. Das Online-Auktionshaus ist außerdem noch immer damit beschäftigt, die betroffenen Kunden per E-Mail zu informieren. „Sie können sich vorstellen, dass eine große Zahl zusammenkommt, wenn es um alle geht, die jemals mit Ebay zu tun hatten“, sagte David Wenig. „Wir werden also allen eine E-Mail schicken, aber es ist einfach nicht möglich, sie gleichzeitig zu verschicken.“

Ebay warnte in diesem Zusammenhang ausdrücklich vor Phishing-Versuchen. Seine offiziellen Mails enthielten eine Aufforderung zum Zurücksetzen des Passworts, aber keine Links. „Jede E-Mail mit Links ist ein Phishing-Versuch“, sagte ein Sprecher.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Datendiebstahl, Datenschutz, E-Commerce, Ebay, Hacker, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Behörden untersuchen Datenklau bei Ebay

Kommentar hinzufügen
  • Am 27. Mai 2014 um 17:28 von PtM

    „die Firma […] realisierte, dass die Angreifer auf Kundendaten zugreifen konnten.“

    Bitte was?

  • Am 27. Mai 2014 um 22:23 von C

    Was ebay (und andere IT-Größen) hinsichtlich Sicherheit und Behebung von Fehlern sich leisten, geht auf keine Kuh-Haut mehr.

    Dem Grunde müssten die User hier massiv reagieren.

    Seinerzeit wollte SHELL eine Bohrinsel auf hoher See verklappen. Als die User dann 1 Woche SHELL boykottierten (und MRD auf dem SHELL-Konto fehlten) wurde die Bohrinsel wieder zurück in den Hafen geschleppt. Das Thema ist aber wohl noch nicht erledigt.

    Fehler können immer passieren. Sich aber MONATE Zeit zu lassen ist unverantwortlich. Hoffentlich schlagen die UK-Verbraucher-Schützer zu – und verdonnern ebay zu einem hohen Straf-Geld. Wenn andere EU-Länder hier nachziehen würden, wäre der CEO ohne Bonus sofort seinen Stuhl los.

    • Am 30. Mai 2014 um 11:02 von Johann

      Ganz deiner Meinung. Nicht zu vergessen, dass Paypal zu Ebay gehört das ist also auch nicht ungefährlich, denn dort werden Daten zum Bankkonto gespeichert. Ich weiß auch nicht, in letzter Zeit hört man nur mehr über Hacks, Einbrüche etc. Da weiß man wirklich nicht mehr, was man tu sol. Ich bezahle daher immer öfter mit prepaid Karten wie paysafecard und co. Damit kann ich online bezahlen ohne irgendwelche Daten angeben zu müssen. Da kann nichts passieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *