Sicherheit

Passworttausch bei Ebay wird noch länger dauern

Hängen Späh-Mails mit dem Datendiebstahl zusammen?

Bis alle Ebay-Kunden nach der jüngsten Hackerattacke ihr Passwort geändert haben, dürfte noch einige Zeit ins Land gehen. Das Unternehmen habe global damit begonnen, Nutzer auch individuell per Mail aufzufordern, ihr Passwort zu ändern, teilte Ebay am Freitag mit. „Aufgrund der Vielzahl der zu versendenden E-Mails wird dies über einen längeren Zeitraum passieren.“ Ebay hat aktuell nach eigenen Angaben rund 145 Millionen Kunden weltweit.

Unbekannte hatten sich Ende Februar oder Anfang März über geklaute Identitäten von Mitarbeitern Zugang verschafft und einen großen Teil der Kundendatenbank kopiert. Es sei aber nicht die gesamte Datenbank kopiert worden, betont Ebay. Demnach sind jeweils Name, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum und das verschlüsselte Passwort gestohlen worden. Kreditkartendaten und andere für den Zahlungsverkehr relevanten Daten sind laut Ebay in einer anderen Datenbank gespeichert und nicht betroffen.

Nach wie vor könne man keinen Anstieg krimineller Aktivitäten auf den Seiten erkennen, betont das Unternehmen. Damit trat Ebay Meldungen entgegen, der Hack werde bereits von Kriminellen ausgenutzt. Die betroffene Datenbank habe keine Finanzinformationen oder andere vertrauliche Informationen enthalten. Unklar bleibt aber, ob die Daten anderweitig genutzt werden, etwa zum massenhaften Versenden von Spams. Dem Informationsdienst „Heise online“ liegen indes Hinweise auf einen möglichen Zusammenhang mit sogenannten Phishing-Mails vor. Demnach werden Ebay-Nutzer aufgefordert, über ein angehängtes Formular ihre Kreditkartendaten einzugeben. Die E-Mails wirken echt, weil sie den richtigen Namen und die richtige Wohnanschrift des Ebay-Kunden enthalten. Die älteste dieser Mails datiere bereits vom 5. Mai. Ob dies im Zusammenhang mit den entwendeten Daten steht, dazu gibt es keinen Kommentar von Ebay.

Ermittlungen in den USA

Ebay ruft seine Nutzer an prominenter Stelle auf der Website auf, das Passwort zu ändern. Kritik an einer verzögerten Informationspolitik wies das Unternehmen zurück. Nach Bekanntwerden der Attacke in der ersten Maihälfte habe man umgehend begonnen, mit Sicherheitsexperten und Strafverfolgungsbehörden zusammenzuarbeiten. Man habe die relevanten Fakten erst ermitteln und verstehen müssen. Erst dann habe das Unternehmen seine Kunden am vergangenen Mittwoch informieren können.

In den USA haben mindestens drei Bundesstaaten Ermittlungen gegen Ebay eingeleitet. Sie wollen prüfen, ob die Datenschutzmaßnahmen der Handelsplattform ausreichend waren. Dabei gehe es um die Umstände des Datenklaus, die Sicherheitsvorkehrungen des Konzerns, die Zahl der betroffenen Nutzer und die Reaktion auf die Cyberattacke.