Wie das Sicherheitsportal falle-internet.de meldet, sei die Kundendatenbank des Payment-Dienstleisters Paypal, einer Ebay-Tochter, undicht. Darüber seien Betrüger an Ebay-Kundendaten gelangt. Wie bereits Ende der vergangenen Woche bekannt wurde, hatten sie die Ebay-API ausgelesen, in der die persönlichen Daten aller Käufer und Verkäufer gespeichert sind. Unterlegenen Bietern wurde nach Ende einer Auktion in einer gefälschten E-Mail in Aussicht gestellt, den Artikel per Sofort-Kauf dennoch erwerben zu können. Wer darauf einging und einen vereinbarten Betrag via Western Union überwies, war angeschmiert. Ebay räumte umgehend eine Sicherheitslücke beim Zugriff auf seine Kundendatenbank ein und veränderte sein Auktionssystem dahingehend, dass die Namen der Bieter ab einem Betrag ab 100 Euro nicht mehr öffentlich sichtbar sind. Nun stellt sich die Frage, ob die schnelle Reaktion seitens Ebay nur eine Schutzmaßnahme zugunsten Paypals gewesen ist. Ebay schweigt sich dazu bislang aus.
Paypal hatte erst vor wenigen Monaten eine EU-Banklizenz erworben, die mit strengen Sicherheitsauflagen verbunden ist. Sollte sich der Verdacht einer Paypal-Lücke erhärten, wäre die Lizenz wohl ernsthaft in Gefahr. Auch sei laut "Falle Internet" nicht klar, warum Paypal überhaupt auf die Ebay-Datenbank zugreifen könne. In den Allgemeinen Geschäftsbedingungen der Anbieter sei von derlei Verschmelzung der Datenbestände keine Rede. Es gibt in Ebays "Einwilligung in die Verarbeitung meiner personenbezogenen Daten" durchaus eine Passage, die anderen Ebay-Gesellschaften den Zugriff auf die Stamm-Kundendaten einräumt. Das gilt aber nur in Zusammenhang mit finanziellen Transaktionen. Die Kontaktdaten der bei einer Auktion unterlegenen Bieter zählen beispielsweise nicht dazu. In einer eiligst versendeten Stellungnahme gab ein Ebay-Sprecher gegenüber der COMPUTERWOCHE an, dass alle Datenaustausche mit Paypal nur mit Einverständnis der Kunden stattfänden. (sh)
