Benutzer-Profile und -Bewertungen können gefälscht seinBetrug leicht gemacht: Sicherheits-Lücke bei Ebay
München (rpo). Viele Kunden von Ebay steigern gern bei Anbietern, die beste Referenzen vorweisen. Vor allem positive Bewertungen und das Icon "Powerseller" suggerieren, dass der Verkäufer von Ebay überprüft ist. Doch wie die "PC-Welt" berichtet, lassen sich Ebay-Profile und -Bewertungen mit einem einfachen Trick fälschen. Käufer bei Ebay merken davon nichts und laufen Gefahr, auf potenzielle Betrüger hereinzufallen. Wenn dies schon passiert ist, sollten geprellte Ebay-Kunden gegen den Verkäufer Strafanzeige stellen, so Rechtsanwalt Johannes Richard gegenüber der "PC-Welt". Sie hätten dann gute Chancen, ihr Geld zurück zu bekommen. Der Trick funktioniert so: Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines Javascript an den Beschreibungstext an. Wenn sich ein Ebay-Nutzer nun dieses Angebot anschaut, führt dessen Browser das Mini-Programm automatisch aus. Das Javascript tauscht dabei die Daten in dem Ebay-Profil des Verkäufers nach Belieben aus — ähnlich dem Suchen und Ersetzen in einer Textverarbeitung. Nur wer Javascript in seinem Browser ausschaltet, sieht das echte Profil des scheinbar seriösen Anbieters. Darüber hinaus bewirkt eine weitere Änderung an dem Javascript, dass beim Klick auf die Bewertungen des Verkäufers nicht die Bewertungs-Texte von Ebay, sondern die Seiten eines anderen Servers geöffnet werden. Betrüger können so Anwender täuschen und beliebige Bewertungstexte von angeblich zufriedenen Käufern einblenden. Nach Kenntnis der Zeitschrift ist Ebay die Sicherheitslücke mindestens seit einer Woche bekannt. Geschlossen wurde sie aber bisher nicht. Dazu ein Pressesprecher von Ebay: "Das ist kein Problem, das nur Ebay hat. Von Ebay aus erlauben wir Javascripts, damit die Anwender ihre Angebote so attraktiv wie möglich machen können. Reine Text- Angebote sind langweilig. Wir arbeiten derzeitig mit Hochdruck daran, eine langfristige Lösung zu finden. Wir haben die Möglichkeit, diese Scripts zu identifizieren und derartige Auktionen zu unterbinden."Bis die Sicherheitslücke geschlossen ist, empfiehlt die "PC-Welt" allen Ebay-Kunden, vor einem Kauf zumindest vorübergehend Javascript in ihrem Internetbrowser zu deaktivieren. Beim Windows Internet Explorer Version 6 funktioniert dies über "Extras, Internetoptionen, Sicherheit, Stufe anpassen, Scripting, Active Scripting, Deaktivieren". Danach muss die Seite des Verkäufers neu geladen, und Javascript wieder aktiviert werden, da sonst nicht alle Funktionen von Ebay genutzt werden können.