eBay-Sicherheitsleck: User lassen Shitstorm wüten

Gehackte Datenbank, Javascript-Exploit. Für eBay waren die letzten Wochen geprägt von schlechten Nachrichten. Das Unternehmen setzt seither alles daran, die Sicherheit der Nutzer zu erhöhen und wiederherzustellen. Trotzdem muss eBay nun deren Wut ertragen: In den sozialen Medien hagelt es kräftig Kritik.

Geschäftsmann schaut Sturm entgegen

(Bildquelle Geschäftsmann im Sturm: wavebreakmedia via Shutterstock)

Nachdem der Hackerangriff auf die Datenbank von eBay bekannt wurde, kündigte das Unternehmen an, alle Nutzer per E-Mail informieren zu wollen. Zeitgleich soll somit jeder dazu aufgefordert werden, sein Passwort zu ändern. Bekannt wurde die Cyberattacke vor genau einer Woche, am 21.05.2014. Die ersten E-Mails mit der dringenden Nachricht, dass das Passwort aus Sicherheitsgründen geändert werden solle, gingen aber erst viele Tage später heraus. Viele User in den sozialen Netzwerken, wie beispielsweise Twitter, kritisieren, dass eBay sich so viel Zeit für die Benachrichtigung nimmt:

At last, an email from #ebay saying reset my password. A week after the news came out, and 3 months after the hack. Thanks!
— Gareth Williams (@gareth_gaw) 26. Mai 2014

Why did @ebay wait until now to send password reset? They should have sent it out last week when the hack happened.
— Alvin (@AlvinCFC) 26. Mai 2014

@WhitsonGordon @eBay they knew about it a lot longer than that. They didn't even have a notification on the front page for two days.
— Chris (@atlgeek007) 26. Mai 2014

Es gab auch Kritik, dass die späte Benachrichtigung vor allem für eBay als “Tech-Gigant” äußerst peinlich sei:

I just got an email from @eBay, telling me to change my password, FIVE days after the hack was revealed! Poor show for a 'tech' giant. :-/
— Les Floyd (@Lesism) 26. Mai 2014

Menge an E-Mails verzögert Versand

Auf Nachfrage von OnlinehändlerNews.de hält eBay sich relativ bedeckt. Man habe damit begonnen die Nutzer „individuell per E-Mail anzuschreiben und um die Änderung ihres Passworts zu bitten“, heißt es von dem Unternehmen. „Wir senden Millionen von E-Mails aus und vor diesem Hintergrund wird der Aussandprozess einige Zeit in Anspruch nehmen und nicht alle Nutzer können parallel informiert werden. Dabei ist es ist nicht so, dass den Nutzern die Entscheidung darüber überlassen wird, ob sie ihr Passwort ändern. Jeder Nutzer wird dies ab einem bestimmten Punkt tun müssen“, so eBay gegenüber OnlinehändlerNews. Damit erklärt eBay auch die Verzögerung bei dem Versand der E-Mails, schließlich werden alle 145 Millionen Nutzer angeschrieben. Es wird betont, dass „eine Vielzahl“ der Nutzer ihre Passwörter bereits geändert hätten – genaue Zahlen würden in diesem Zusammenhang allerdings nicht veröffentlicht.

eBays Reaktion sei "verantwortungslos"

Auch hinsichtlich der kurz nach dem Hack entdeckten Javascript-Lücke hält eBay sich weitestgehend bedeckt und machte gegenüber OnlinehändlerNews keine genaueren Angaben. Die Lücke stehe „in Zusammenhang mit der Tatsache, dass wir Verkäufern erlauben, auf unserer Seite in Artikelbeschreibungen aktive Inhalte wie JavaScript und Flash zu nutzen. Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten“. Es sei ebenfalls bekannt, dass es Möglichkeiten gibt, diese Technologien „in missbräuchlicher Art“ zu verwenden. Deshalb habe eBay ein „mehrstufiges Sicherheitssystem“ aufgebaut, um gegen derartige Probleme vorzugehen. Trotzdem sorgt eBay mit seiner Erklärung nicht für Ruhe: Einige Nutzer werfen dem Unternehmen im Forum von golem.de Verantwortungslosigkeit vor und zeigen sich schockiert.

Dass die Sicherheitsprobleme von eBay zu Umsatzeinbußen bei den Händlern führen könnten, ist durchaus wahrscheinlich. Viele Kunden dürften die Angriffe und Sicherheitslücken davon abhalten, den Marktplatz zu nutzen. Aktuelle Zahlen sollen eBay aber noch nicht vorliegen: Das Unternehmen betonte, dass derzeit weitere Informationen zu möglichen Umsatzeinbußen vorbereiten würden. Sicher scheint aber, dass das Unternehmen sich mit der verspäteten Reaktion bei seinen Nutzern unbeliebt – ja, teilweise sogar lächerlich – macht.