Mittlerweile hat Ebay die veröffentlichten Datensätze, die im "Trust & Safety"-Forum einsehbar waren, wieder entfernt. Neben Benutzernamen, Passwörtern und E-Mail-Adressen fanden sich in den Postings auch Ziffernfolgen, die von einigen Nutzern zunächst für den Konten zugehörige Kreditkartennummern gehalten wurden.
Wie Ebay-Sprecherin Nichola Sharpe sagte, passten die Nummern aber nicht zu denen, die unter den jeweiligen Konten in der Ebay-Datenbank hinterlegt wurden. Das Unternehmen gehe deshalb davon aus, dass nicht ein kompromittierter Ebay-Server den Datenklau ermöglicht habe, sondern eine groß angelegte Phishing-Attacke, der einige Ebay-Nutzer aufsaßen. Nach einer ersten Mitteilung, die Sharpe im Ebay-Chatter-Blog abgab, sei bislang nicht einmal sicher, ob tatsächlich alle veröffentlichten Kontoinformationen gültig seien und einen unautorisierten Login in das System ermöglichten. Nachweislich von einem Identitätsdiebstahl betroffene Ebay-Nutzer würden telefonisch über den Vorfall informiert.
Der Vorfall ist für Ebay bereits der dritte in diesem Jahr: Erst vor drei Wochen hatten Unbekannte die Kundendatenbank von Ebay mutmaßlich mit Hilfe einer Schwachstelle im Bezahlsystem der Ebay-Tochter Paypal kompromittiert. Auch im Februar war Ebay Opfer eines Angriffs geworden, bei dem Daten von Mitgliedern und sogar Ebay-Angestellten gestohlen worden waren. Damals hatte Ebay anschließend ebenfalls behauptet, dass seine eigenen Systeme sicher seien und die Opfer auf eine Phishing-Attacke hereingefallen seien.
(Computerwoche/cvi)
(Computerwoche/cvi)
Keine Kommentare:
Kommentar veröffentlichen