Rund 145 Millionen Kunden hat das Online-Auktionshaus eBay weltweit. Wie jetzt bekannt wurde, haben sich Kriminelle Zugang zu den Datenbanken von eBay verschafft und den Großteil der Kundendaten kopiert. Neben Benutzername und E-Mail-Adresse sind den Kriminellen auch das verschlüsselte Passwort, die Anrede, die Postadresse und das Geburtsdatum in die Hände gefallen. Sensible Zahldaten wie Kreditkarten- oder Bankdaten speichert eBay allerdings in einer separaten Datenbank, die besser abgesichert ist – diese Daten konnten offensichtlich nicht entwendet werden.

Die Cyberkriminellen haben nicht die Server von eBay gehackt, sondern durch Phishing-Tricks eBay-Mitarbeitern Zugangsdaten zum eBay-System entlockt. Auf diese Weise waren alle Daten im Zugriff – ohne dass große Spuren hinterlassen wurden. Darum ist der eigentliche Datenklau, der Ende Februar/Anfang März stattgefunden hat, erst relativ spät entdeckt worden. Da die Passwörter verschlüsselt sind, können die Betrüger die eBay-Zugangsdaten nicht ohne weiteres missbrauchen.

Trotzdem sind alle User aufgefordert, ihre Passwörter zu erneuern. eBay plant sogar, alle Passwörter automatisch zurückzusetzen. Missbraucht wurden die Daten trotzdem bereits: Es sind Phishing-Mails aufgetaucht, in denen eBay-User gezielt angeschrieben worden, mit korrekter Anrede, mit korrekten Namen und weiteren zutreffenden Daten – entnommen aus den geklauten Datenbeständen.

In der Mail werden die Empfänger aufgefordert, ihre Kredit- und Bankdaten einzugeben. Auf diesen Trick sollte niemand hereinfallen. Experten kritisieren, dass eBay seine Mitglieder erst zögerlich informiert hat und die sensiblen Daten unzureichend schützt.

ebay-logo