-->manager-magazin.de, 25.01.2004, 14:15 Uhr
http://www.manager-magazin.de/ebusiness/artikel/0,2828,283365,00.html

E B A Y Wer bewertet denn da?

Das Gerücht, dass Web-Betrüger immer wieder ihre Nutzerprofile bei dem Online-Versteigerer frisieren, kursiert schon lange. Jetzt gab Ebay zu, dass die Vermutungen stimmen: Eine Sicherheitslücke macht Manipulationen möglich.

Berlin - Der beispiellose Erfolg von Ebay fußt vor allem auf einem Faktor: Dem Online-Auktionshaus ist es gelungen, ein System zu etablieren, das eine Vertrauensbasis zwischen handelnden Menschen schafft, die sich nicht kennen. Nur deshalb sind Millionen Käufer bereit, für ersteigerte Waren in Vorlage zu gehen und erst ihr Geld in die Welt zu schicken, bevor sie die Ware in den Händen halten.



Das ist eigentlich verrückt und widerspricht allen guten Ratschlägen, die Verbraucherschützer für ihre Klientel bereithalten. Aber es funktioniert - meistens.

Immer wieder machen schwarze Schafe Schlagzeilen, die Waren"verkaufen", aber nie versenden. Über 2000 Fälle registrierte die deutsche Polizei im letzten Jahr, was einerseits viel scheint, andererseits lächerlich wenig ist: Über Ebay werden Millionen von Transaktionen abgewickelt.

Trotzdem: Betrug ist möglich - und weit leichter, als das Ebay bisher zugegeben hat.

Hier setzen Betrüger an

Die wichtigste"Vertrauensbildende Maßnahme" bei Ebay ist die gegenseitige Bewertung von Käufer und Verkäufer. Die macht den Handel auch mit einem unbekannten Verkäufer ein wenig transparenter: Wie viele Verkäufe hat dieser Mensch in den letzten Monaten abgewickelt? Ist er ein Profi oder ein Amateur? Was halten seine Kunden von ihm? Liefert er gute Ware, liefert er schnell? Gab es Streitigkeiten mit Kunden und warum?

Alles Fragen, die sich aus dem Bewertungsprofil erschließen lassen. Seit rund eineinhalb Jahren jedoch häufen sich die Gerüchte darüber, dass Betrüger in der Lage seien, diese Profile zu manipulieren. Aus neu angemeldeten Händlern werden plötzlich Ebay-Urgesteine mit Hunderten erfolgreich abgewickelten Geschäften, stets zur vollen Zufriedenheit aller Kunden. In Wahrheit macht sich das Windei am Ende mit dem Geld davon.

Ebay hat das lange abgestritten, musste nun aber nach einer Veröffentlichung der Zeitschrift"PC Welt" Farbe bekennen.

Und so funktioniert der Trick

Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines Javascript an den Beschreibungstext an. Wenn sich ein Ebay-Nutzer das Angebot anschaut, führt dessen Browser das Mini-Programm in der Regel automatisch aus. Das Javascript tauscht die Daten in dem Ebay-Profil des Verkäufers nach Belieben aus - und selbst aus dem hinterletzten Bengel wird ein Engel. Die Betrüger können sogar beliebige Bewertungstexte von imaginären, aber angeblich zufriedenen Käufern einblenden.

Das ist kein"Hack", wie von misstrauischen Ebay-Usern lang vermutet, sondern schlicht eine klaffende Sicherheitslücke.

Die ist einfach genug zu schließen: Wer Javascript in seinem Browser deaktiviert, bevor er sich zu Ebay begibt, sieht das echte Profil des scheinbar seriösen Anbieters.

Ebay bezieht Stellung

Ebay selbst sieht in der Javascript-Lücke kein großes Problem."Der in PC Welt dargestellte Sachverhalt ist keine Ebay-spezifische Problematik: Jeder Internet-Anbieter, der mit Java arbeitet, kann davon betroffen sein", heißt es in einer offiziellen Stellungnahme des Unternehmens. Und weiter:"Wir lassen Javascript-Darstellungen in den Angeboten unserer Mitglieder zu, da die Ebay Gemeinschaft ein Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer Angebote von uns erwartet."

Ebay gibt sich zuversichtlich, das Sicherheitsproblem auch so weitgehend unter Kontrolle halten zu können:"Wir haben die Möglichkeit, unzulässige Javascripte sehr schell aufzufinden und von der Seite zu entfernen. Darüber hinaus arbeiten wir langfristig an technischen Lösungen, unzulässige Darstellungen komplett zu verhindern."

Verbraucherschützer und Polizeibehörden raten dazu, bei hochpreisigen Waren den von Ebay angebotenen Treuhand-Service in Anspruch zu nehmen. Der gibt gezahltes Geld erst frei, wenn der Kunde signalisiert, dass er die Ware erhalten und geprüft hat. Anzuraten sei der kostenpflichtige Service bei allen Verkaufspreisen über 200 Euro.



--------------------------------------------------------------------------------
Mehr zum Thema · Ebay: Glänzende Zahlen (22.01.2004)
http://www.manager-magazin.de/geld/artikel/0,2828,282983,00.html
· Ebay: Das Phänomen Beratungsdiebstahl (21.10.2003)
http://www.manager-magazin.de/unter...ittelstand/0,2828,270602,00.html
· Ebay: Digitale Datendiebe (17.12.2003)
http://www.manager-magazin.de/ebusiness/artikel/0,2828,278649,00.html
· Mobile.de: Ebay bietet 115 Millionen Euro (12.01.2004)
http://www.manager-magazin.de/ebusiness/artikel/0,2828,281540,00.html
· E-Business: Netz-Anonymität schützt vor Fiskus nicht (05.12.2003)
http://www.manager-magazin.de/ebusiness/artikel/0,2828,276675,00.html

-->... nach script suchen und schauen, was es tut. Im Zweifel nicht bei hochpreisigen Waren und Seiten, bei denen ein Script vorhanden ist, bieten.

MfG
igelei

>manager-magazin.de, 25.01.2004, 14:15 Uhr
>http://www.manager-magazin.de/ebusiness/artikel/0,2828,283365,00.html
>E B A Y Wer bewertet denn da?
>Das Gerücht, dass Web-Betrüger immer wieder ihre Nutzerprofile bei dem Online-Versteigerer frisieren, kursiert schon lange. Jetzt gab Ebay zu, dass die Vermutungen stimmen: Eine Sicherheitslücke macht Manipulationen möglich.
>Berlin - Der beispiellose Erfolg von Ebay fußt vor allem auf einem Faktor: Dem Online-Auktionshaus ist es gelungen, ein System zu etablieren, das eine Vertrauensbasis zwischen handelnden Menschen schafft, die sich nicht kennen. Nur deshalb sind Millionen Käufer bereit, für ersteigerte Waren in Vorlage zu gehen und erst ihr Geld in die Welt zu schicken, bevor sie die Ware in den Händen halten.
>
>Das ist eigentlich verrückt und widerspricht allen guten Ratschlägen, die Verbraucherschützer für ihre Klientel bereithalten. Aber es funktioniert - meistens.
>Immer wieder machen schwarze Schafe Schlagzeilen, die Waren"verkaufen", aber nie versenden. Über 2000 Fälle registrierte die deutsche Polizei im letzten Jahr, was einerseits viel scheint, andererseits lächerlich wenig ist: Über Ebay werden Millionen von Transaktionen abgewickelt.
>Trotzdem: Betrug ist möglich - und weit leichter, als das Ebay bisher zugegeben hat.
>Hier setzen Betrüger an
>Die wichtigste"Vertrauensbildende Maßnahme" bei Ebay ist die gegenseitige Bewertung von Käufer und Verkäufer. Die macht den Handel auch mit einem unbekannten Verkäufer ein wenig transparenter: Wie viele Verkäufe hat dieser Mensch in den letzten Monaten abgewickelt? Ist er ein Profi oder ein Amateur? Was halten seine Kunden von ihm? Liefert er gute Ware, liefert er schnell? Gab es Streitigkeiten mit Kunden und warum?
>Alles Fragen, die sich aus dem Bewertungsprofil erschließen lassen. Seit rund eineinhalb Jahren jedoch häufen sich die Gerüchte darüber, dass Betrüger in der Lage seien, diese Profile zu manipulieren. Aus neu angemeldeten Händlern werden plötzlich Ebay-Urgesteine mit Hunderten erfolgreich abgewickelten Geschäften, stets zur vollen Zufriedenheit aller Kunden. In Wahrheit macht sich das Windei am Ende mit dem Geld davon.
>Ebay hat das lange abgestritten, musste nun aber nach einer Veröffentlichung der Zeitschrift"PC Welt" Farbe bekennen.
>Und so funktioniert der Trick
>Der Verkäufer fügt beim Erstellen seines Angebotes ein kleines Javascript an den Beschreibungstext an. Wenn sich ein Ebay-Nutzer das Angebot anschaut, führt dessen Browser das Mini-Programm in der Regel automatisch aus. Das Javascript tauscht die Daten in dem Ebay-Profil des Verkäufers nach Belieben aus - und selbst aus dem hinterletzten Bengel wird ein Engel. Die Betrüger können sogar beliebige Bewertungstexte von imaginären, aber angeblich zufriedenen Käufern einblenden.
>Das ist kein"Hack", wie von misstrauischen Ebay-Usern lang vermutet, sondern schlicht eine klaffende Sicherheitslücke.
>Die ist einfach genug zu schließen: Wer Javascript in seinem Browser deaktiviert, bevor er sich zu Ebay begibt, sieht das echte Profil des scheinbar seriösen Anbieters.
>Ebay bezieht Stellung
>Ebay selbst sieht in der Javascript-Lücke kein großes Problem."Der in PC Welt dargestellte Sachverhalt ist keine Ebay-spezifische Problematik: Jeder Internet-Anbieter, der mit Java arbeitet, kann davon betroffen sein", heißt es in einer offiziellen Stellungnahme des Unternehmens. Und weiter:"Wir lassen Javascript-Darstellungen in den Angeboten unserer Mitglieder zu, da die Ebay Gemeinschaft ein Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer Angebote von uns erwartet."
>Ebay gibt sich zuversichtlich, das Sicherheitsproblem auch so weitgehend unter Kontrolle halten zu können:"Wir haben die Möglichkeit, unzulässige Javascripte sehr schell aufzufinden und von der Seite zu entfernen. Darüber hinaus arbeiten wir langfristig an technischen Lösungen, unzulässige Darstellungen komplett zu verhindern."
>Verbraucherschützer und Polizeibehörden raten dazu, bei hochpreisigen Waren den von Ebay angebotenen Treuhand-Service in Anspruch zu nehmen. Der gibt gezahltes Geld erst frei, wenn der Kunde signalisiert, dass er die Ware erhalten und geprüft hat. Anzuraten sei der kostenpflichtige Service bei allen Verkaufspreisen über 200 Euro.
>--------------------------------------------------------------------------------
>Mehr zum Thema · Ebay: Glänzende Zahlen (22.01.2004)
>http://www.manager-magazin.de/geld/artikel/0,2828,282983,00.html
> · Ebay: Das Phänomen Beratungsdiebstahl (21.10.2003)
>http://www.manager-magazin.de/unternehmen/mittelstand/0,2828,270602,00.html
> · Ebay: Digitale Datendiebe (17.12.2003)
>http://www.manager-magazin.de/ebusiness/artikel/0,2828,278649,00.html
> · Mobile.de: Ebay bietet 115 Millionen Euro (12.01.2004)
>http://www.manager-magazin.de/ebusiness/artikel/0,2828,281540,00.html
> · E-Business: Netz-Anonymität schützt vor Fiskus nicht (05.12.2003)
>http://www.manager-magazin.de/ebusiness/artikel/0,2828,276675,00.html
>

-->Ich hab auch schon gerüchteweise gehört, daß Powerseller einzelne negative Bewertungen aus ihrem Profil streichen lassen können.

Das ist ja auch nicht Sinn der Sache bei dem Bewertungssystem.

-->Das geht aber nur mit NAchweis des E-Mail verkehrs usw.
Das hab ich auch schon amchen lassen. Der Käufer hat sie nicht gemeldet und dann geht alles seinen weg und nach ca. 6 Wochen hab ich plötzlich ne schlechte Bewertung und einen bescheuerten Kommentar, da hab ich an Ebay geschrieben, meine ca. 15Mails die ich an Ihn geschickt hab und auch den Hinweis wegen Zahlungsaufforderung über Ebay usw. und dann wurden die Gebühren zurückerstattet und die Bewertung gecancelled.

Also so einfach denke ich ist das nicht

Joss

-->-- Begin Description --
...
-- End Description --
MfG
igelei