Menü

Einstweilige Verfügung gegen Demo von eBay-Sicherheitslücke aufgehoben

Von
vorlesen Drucken Kommentare lesen 321 Beiträge

Das Landgericht Limburg hat eine einstweilige Verfügung aufgehoben, die das Online-Auktionshaus eBay gegen Alex Leporda von Validome beantragt hatte. Die Kosten für das Verfahren (AZ 1 O 567/04) müsste eBay tragen, sofern die Entscheidung rechtskräftig wird. Die eBay-Pressestelle gab gegenüber heise online keine Auskunft, ob das Unternehmen dagegen Berufung einlegen wird.

Die einstweilige Verfügung untersagte Alex Leporda den Auftritt in der stern-TV-Sendung vom 22. Dezember 2004. Tobias Strömer, der Anwalt von Leporda, erklärte gegenüber heise online, die Verfügung sei aufgrund falscher Angaben seitens eBay ergangen. Ein Mitarbeiter der Online-Auktion habe an Eides statt erklärt, Leporda hätte in der Sendung am 15. Dezember 2004 die Daten eines eBay-Mitglieds ohne dessen Wissen und Einverständnis ausspioniert und veröffentlicht. Jeder, der die Sendung gesehen hat, könne bestätigen, dass dies falsch sei. Strömer prüft, ob er wegen der falschen Angaben rechtliche Schritte einleiten wird.

Tatsächlich war Leporda in der Sendung am 15. Dezember bei dem Versuch gescheitert, in einer Live-Demo die Account-Daten eines Studiogastes auszuspähen, der diesem Versuch zugestimmt hatte. Eine Beispielauktion, die am Nachmittag etwa dreieinhalb Stunden online war, hatte eBay genug Informationen geliefert, um die Live-Demo im Fernsehen zu verhindern.

stern TV griff das Thema am 22. Dezember erneut auf. Ein Auftritt von Alex Leporda war dazu jedoch gar nicht geplant. Stattdessen spähte Wolfgang Krückels von Expert-Center Solutions das Passwort eines Studiogastes erfolgreich aus -- natürlich mit dessen Einverständnis.

Das Sicherheitsproblem besteht darin, dass eBay in Auktionsbeschreibungen unter anderem JavaScript zulässt. Damit kann der Verkäufer Inhalte wie das Bewertungsprofil fälschen oder den Bieter auf eine nachgemachte Seite umleiten, um dort die Passworteingabe abzufangen. Der Kanadier Tom Cervenka demonstrierte diese Sicherheitslücke bereits 1999. (ad)

Anzeige
Anzeige