Ebay verschickt derzeit E-Mails an seine deutschen Nutzer mit der Bitte, schnellstmöglich das Passwort für den Online-Marktplatz zu ändern. Damit reagiert das Unternehmen auf einen Datenklau, der sich zwischen Ende Februar und Anfang März ereignet hat. Dabei stahlen Angreifer zunächst die Zugangsdaten von einigen Ebay-Mitarbeitern und verschafften sich so Zugriff auf das Firmennetzwerk. Von dort aus konnten sie eine Datenbank infiltrieren, in der zahlreiche Informationen der insgesamt 145 Millionen Kunden gespeichert sind. Die geknackte Datenbank enthielt Kundennamen, Geburtsdaten, Postanschriften, Telefonnummern und E-Mail-Adressen. Außerdem waren dort Passwörter gespeichert, allerdings nicht im Klartext, sondern in verschlüsselter Form.
Nun rückt die Shopping-Plattform erneut in den Fokus. Der Sicherheitsanalyst Jordan Jones etwa will in nur einer Nacht 13 Schwachstellen der Ebay-Software entdeckt haben. Auf dem Kurznachrichtendienst Twitter verbreitete er Bilder von Angeboten auf der Plattform, mit denen seinen Aussagen zufolge nach Aufrufen der Auktion der Browser des Nutzers manipuliert werden konnte. Mittlerweile hat das Unternehmen reagiert und die Sicherheitslücken geschlossen. Offenbar war dies aber kein Einzelfall: Das Techportal "Golem" berichtete Ende vergangener Woche von einer Sicherheitslücke, die fast zwei Monate auf Ebay offenstand.
Keine Passwörter mit mehr als 20 Zeichen
Kritik hagelt es im Netz auch für Ebays Passwortsystem. Viele User sind der Aufforderung zur Änderung des Kennworts nachgekommen, dabei gab es einige Überraschungen. So schrieb der Informatiker und Verschlüsselungsexperte Kenn White via Twitter: "Ebay, du bringst mich um." Darunter postete er ein Bild, in dem er im Passwort-Manager versucht, das Kennwort auf "b4bc57985984a048ccc080154e37d979e335844f" zu ändern. Das sichere Passwort erhält auf Ebays Sicherheitsstufe nicht nur den Status "mittel", es ist auch zu lang, da Kennwörter mit mehr als 20 Zeichen dem Experten zufolge nicht unterstützt werden. Unsichere Passwörter wie "password123" würden dagegen anstandslos akzeptiert werden, schreibt das Portal "t3n". Die Empfehlung des Online-Marktplatzes sollte man im Zweifelsfall also lieber ignorieren. Auf dieser Seite gibt Ebay Tipps für sichere Passwörter.
