Löcher in der eBay-Sicherheit

Ausgerechnet im Sicherheitsforum tanzt ein Hacker eBays Sicherheits-"Fachleuten" auf der Nase herum und demonstriert unter dem Account eines eBay-Mitarbeiters, wie löchrig eBays Sicherheit ist.

In diesem Thread gibt es bereits seit einigen Stunden Beiträge eines rflello@ebay.com, die als Beiträge eines eBay-Mitarbeiters gekennzeichnet sind. Die Beiträge von eBay-Mitarbeiter erscheinen in den Foren pink unterlegt, weswegen die eBay-Mitarbeiter auch als Pinkliner bezeichnet werden.

rflello@ebay.com macht sich über die eBay-Sicherheit lustig. Offenbar hat er Zugriff auf viele Infos, die eigentlich nur eBay-Mitarbeitern zugänglich sind.

Für seine Forenbeiträge gibt es mehrere mögliche Erklärungen, die aber alle für eBay äußerst peinlich sind:

  • Es könnte sein, dass sich hier ein eBay-Mitarbeiter einen Scherz erlaubt. Das ist aber sehr unwahrscheinlich, denn das würde ihn seinen Job kosten.
  • Es könnte sein, dass hier ein ehemaliger eBay-Mitarbeiter sein Unwesen treibt. Auch das wäre für eBay sehr peinlich, denn natürlich sollten interne eBay-Seiten gerade unzufriedenen Ex-Mitarbeitern versperrt sein.
  • Am wahrscheinlichsten ist aber, dass es hier tatsächlich einem Hacker gelungen ist, in das eBay-interne Sicherheitssystem einzudringen.

Vor einigen Wochen tauchten Screenshots aus einem angeblichen eBay-internen Sicherheitstool auf. Damals hatte ich an der Geschichte einige Zweifel, daher hatte ich die nicht veröffentlicht - das werde ich im Licht der neuen Erkenntnisse in den nächsten Tagen nachholen.

Erste Recherchen deuten übrigens daraufhin, dass der Hacker aus Estland stammt.

Hier Screenshots von seinem derzeitigen Account:

Das Bewertungsprofil

Der frühere Name

Ein Forenbeitrag

Update 30.12.07: Inzwischen hat eBay den angeblichen Mitarbeiteraccount gesperrt und seine Postings gelöscht. Dazu schreibt eine eBay-Mitarbeiterin im Forum:

Aus gegebenen Anlass wurden heute Nacht bzw. heute Morgen einige Postings hier gelöscht.

Bitte beachtet dazu die nachfolgenden Informationen:

Einzelne Postings in diesem Thread wurden nicht von einem eBay Mitarbeiter abgegeben, sondern durch den Missbrauch eines Pinkliner-Accounts.

Pinkliner-Accounts sind gewöhnliche eBay-Mitgliedskonten, deren Beiträge in den eBay Foren entsprechend farblich gekennzeichnet werden.

Es konnte jedoch zu keinem Zeitpunkt über das Pinkliner-eBay-Mitgliedskonto auf das eBay-System, entsprechende interne Tools oder jegliche Mitgliedsdaten zugegriffen werden.

Freundliche Grüße,

Marlene vom eBay Team

Das erscheint mir durchaus glaubhaft: Im Thread hat der "Hacker" keinerlei Beweise dafür geliefert, dass er Zugriff auf irgendwelche Daten hätte. Trotzdem bleibt es für eBay peinlich, dass da jemand ungestört rund sechs Stunden lang unter dem Account eines eBay-Mitarbeiters Forenbeiträge schreiben konnte.

aXel Gronen
Köln, 29.01.2007
Mail: webmaster@wortfilter.de
Axel Gronen August 2006

Vorherige Meldung Vorherige Meldung

Meldungen 1. Quartal 2005     Meldungen 4. Quartal 2004     Meldungen 3. Quartal 2004
Meldungen 2. Quartal 2004     Meldungen 1. Quartal 2004     Meldungen 2002 und 2003

© 2007 bei Axel Gronen. Letzte Aktualisierung: 30.01.07.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo