|
| |
Erfahrungsbericht zur (Un-) Sicherheit von Ebay
Von Agon S. Buchholz
für Kefk Network Shopping, Juni 2003 ff.
Auktionen : Ebay
: Sicherheitsteam : Übersicht
17-Jun-2003/17-Jan-07
[Changelog - aktuelle Änderungen]
Übersicht
Kommunikationsversuche mit dem sog. »Ebay- Sicherheitsteam«
Ich fasse hier meine bisherigen Kommunikationsversuche mit dem sog.
»Ebay- Sicherheitsteam« zusammen, das -- zumindest theoretisch -- die
folgende Aufgabe hat: »Schließlich haben wir ein eigenes
Sicherheitsteam, das Verstöße gegen Regeln aufspürt und ahndet«
(Interview mit dem Ebay- Geschäftsführer Philipp Justus in c't 8/03, S.
34; vgl. Ebay über Ebay).
Nach meinen Erfahrungen reagiert das sog. »Sicherheitsteam« zwar
innerhalb der zugesicherten Fristen (48 Stunden) auf Beschwerden,
versucht jedoch nicht, die geschilderten Probleme zu lösen. Stattdessen
wird versucht zu vertuschen, zu verschleiern und Desinformation zu
streuen. Die Betrugsrate bei Ebay
ist eben einfach zu hoch; selbst wenn Ebay wollte, könnte man die von
mir geschätzten 48.000 bis 480.000 Betrugsfälle in Deutschland pro Jahr
personell gar nicht bearbeiten (vgl.
Betrugsrate bei Ebay, »Versuch der Rekonstruktion der Betrugsrate«).
Nach einem längeren Mailwechsel
mit dem Ebay- Sicherheitsteam habe ich mittlerweile den Verdacht, dass
es diese Einrichtung gar nicht in der von Ebay propagierten Form gibt.
Beispielsweise ist sehr eigenartig, dass ich kaum Antworten von
demselben Bearbeiter erhalten habe; nahezu jede Mail ist mit einem
anderen Namen unterzeichnet, und es ist nicht möglich, eine Antwort an
eine bestimmte Person zu adressieren. Ich vermute daher, dass Ebay die
Mails entweder mit fiktiven Namen unterzeichnet, oder aber ein riesiges
"Write- Center" mit wenig oder gar nicht ausgebildeten Mitarbeitern ohne
jegliche Kompetenzen und mit hoher personeller Fluktuation betreibt;
anders kann ich mir dieses weitere Myterium beim besten Willen nicht
erklären.
Mit folgenden Namen waren die bisherigen Antworten im
Mailwechsel unterzeichnet:
- "Jelec Petric",
- "Roman Beerens",
- "Sandrina Schuster",
- "Barbara Graf",
- "David Bauer",
- "Jochen Martens".
Am 18.09. erhalte ich folgende Mail einer Leserin meines Beitrags:
»Das Sicherheits- Team gibt es übrigens wirklich, soll aber
erheblich kleiner sein als vorgegeben: niemand weiss was genaues
aber um die 50 Leute sollen es sein und nicht mehrere 100, die
für die Sicherheit zuständig sind. Der Rest bis zu 300 oder 500 sind
reine Kundenbetreuer. Die Namen unter den mails sind Fakes, reine
Zufallsgeneratoren- Produkte, so wie eben auch die Standard-Texte
zum Abschrecken von sog. ebay- Mitgliedern. So wie man munkelt
schreiben wohl die ebay- Mitarbeiter auch unter Fake-Namen speziell
im Sicherheitsforum mit. Es gibt zwar einige offizielle Pinkies =
Forenbetreuer, die sind aber nur da um die Leute ruhig zu halten:
ein typisch amerikanisches System«.
Beschwerde bei Ebay
Nach dem dritten Anruf eines mehr oder minder wütenden »Kunden« am
Samstag, den 14.6.2003
gegen 10:50 Uhr schrieb ich eine Beschwerde an Ebay:
Probleme mit einem anderen Mitglied : Zweifelhafte
Kontaktdaten/Identität : Ein Mitglied veröffentlicht fremde
Kontaktinformationen
Hallo,
ich muss (a) einen Identitätsdiebstahl sowie (b) einen Betrugsfall
melden.
Ich möchte zunächst darauf hinweisen, dass ich weder unter dem
Account xxx, noch unter einem anderen, jemals an einer Transaktion
bei Ebay teilgenommen habe, weder in der Rolle eines Käufers noch in
der eines Verkäufers.
Ob u.g. Auktion tatsächlich stattgefunden hat, und ob die unten
genannten Angaben zum Ablauf der Transaktion stimmen, kann ich als
unbeteiligter Dritter nicht nachprüfen; definitiv hat jedoch ein
Identitätsmissbrauch meines Namens, meiner Anschrift und meiner
Telefonnummer stattgefunden.
Zu dem Betrugsfall:
Nach meinem bisherigen Kenntnisstand hat ein mir unbekanntes
Ebay-Mitglied mit der Mail-Adresse <hdd-drive@web.de> anscheinend am
vergangenen Sonntag (8.6.03) eine Auktion von fünf oder sechs
Festplatten durchgeführt; die Geräte wurden zum Preis von ca. 70
Euro gegen Vorkasse verkauft. Genauere Vorgangsdaten über diese
Auktion liegen mir nicht vor, da ich weder als Käufer noch als
Verkäufer daran beteiligt war.
Das Ebay-Mitglied hat die Auktion ohne meine Erlaubnis und ohne mein
Wissen mit MEINER Privatanschrift und MEINER Telefonnummer, jedoch
einem mir unbekannten Ebay-Account, der mir zuvor nicht bekannten
E-Mail- Adresse <hdd-drive@web.de> sowie einem mir ebenfalls
unbekannten Bankkontos bei der Deutschen Bank, Hamburg (ohne Angabe
des Namens des Kontoinhabers), durchgeführt; diese Angaben wurden
mir von den Betroffenen telefonisch mitgeteilt.
Bisher haben sich drei "Kunden" telefonisch bei mir gemeldet, die
per Vorkasse Geld auf das betreffende Bankkonto überwiesen, aber
keine Ware erhalten haben. Dabei handelt es sich um folgende
Rufnummern:
- 12.6., ca. 21:33: 0777xxxxxxx
- 12.6., ca. 20:59: 0293xxxxxxx
- 14.6., ca. 10:50: 0941xxxxxx
Anhand Ihres Mitgliedersystems sollte es Ihnen möglich sein, die
entsprechende Auktion zu ermitteln und mit den Opfern des Betrugs
Kontakt aufzunehmen, um diesen Hinweise für die weitere
Vorgehensweise zu geben.
Ich rechne damit, von den verbleibenden zwei oder drei Betrugsopfern
ebenfalls noch Anrufe zu erhalten; das Erklären des Sachverhalts
kostet mich viel Zeit, daher fordere ich Ebay hiermit auf, dem Fall
nachzugehen, Ermittlungen durchzuführen und mich über den Stand der
Nachforschungen auf dem Laufenden zu halten.
Weiterhin fordere ich Sie auf sicherzustellen, dass der Account von
hdd-drive@web.de umgehend gesperrt wird und alle notwendigen
Massnahmen ergriffen werden, die betrügerische Nutzung meiner
Adressdaten zu unterbinden. Ich bitte darum, unter meinem
E-Mail-Account <asb@kefk.net> über den Stand Ihrer Ermittlungen auf
dem Laufenden gehalten zu werden.
Des weiteren werde ich diesen Fall von Identitätsdiebstahl bei den
zuständigen Behlörden zur Anzeige bringen; nicht nur die KLäufer
wurden ja betrogen, sondern auch mir wurde Zeit und Name gestohlen.
Ich habe den o.g. drei Betrugsopfern ebenfalls geraten, den Fall bei
der Kriminalpolizei zu melden.
Abschliessed möchte ich noch darauf hinweisen, dass ich die
Handhabung von Kundenaccounts bei Ebay für grob fahrlässig halte;
Ebay führt anscheinend keinerlei Identitätsfeststellung durch, weder
von Käufern noch von Verkäufern, obwohl dies durch Verfahren wie
Postident problemlos möglich wäre. Aus meiner Sicht lädt Ebay durch
diese laxe Umgangsweise zu kriminellen Handlungen -- wie dem
vorliegenden Fall von Identitätsdiebstahl und Betrug -- geradezu
ein.
Mit freundlichen Grüssen,
-Agon Buchholz
Am 14.06.2003 12:21 erhielt ich eine automatisierte Bestätigung über
den Erhalt meiner Beschwerde; eine Bearbeitung innerhalb von 24 bis 28
Stunden wurde in Aussicht gestellt.
Ausschluss aus Ebay
Statt einer Bearbeitung meiner Beschwerde wurde ich (!) von Ebay
ausgeschlossen; am erhielt ich am 15.06.2003 18:45 von <kontrolle@ebay.de>
eine E-Mail mit dem Betreff: "eBay Ausschluss - Ausgeben als anderes
Mitglied". Damit hatte ich dann auch keine weitere Möglichkeit mehr,
über das interne Beschwerdesystem mit Ebay zu kommunizieren -- das ist
nämlich an einen gültigen Account gekoppelt.
Der Inhalt der Mail von Ebay grenzt an Unverschämtheit:
Wir bedauern Ihnen mitteilen zu muessen, dass wir Ihren
eBay-Account aus einem der folgendenden Gruende sperren mussten:
- Falsche oder unvollstaendige Angabe Ihrer Daten bei der
Registrierung bzw. Angabe der Daten einer anderen Person.
- Aenderung Ihrer Registrierungsdaten auf eine andere
Person (unzulaessige Accountuebertragung).
Da wir fuer die Sicherheit auf der Plattform verantwortlich
sind, muessen wir Sie bitten, uns zur Bestaetigung Ihrer
Registrierungsdaten eine beglaubigte(!) Kopie Ihres
Personalausweises an folgende Anschrift zuzusenden:
eBay.de - Sicherheit
z.Hd. Frau Barbara Graf
eBay International AG
Marktplatz 1 14532
Europarc Dreilinden
Beglaubigungen koennen Sie bei Ihrer Bank (als
registrierter Kunde), Krankenkasse, Universitaet, Buergerbuero,
Stadtverwaltung etc. einholen.
Bitte nennen Sie in dem Schreiben auch Ihren Mitgliedsnamen
sowie Ihre hier registrierte E-Mail-Adresse.
Durch diese Massnahme wollen wir verhindern, dass Personen
unter Verwendung fremder Namen und Daten auf eBay handeln. Wir sind
stets bestrebt, fuer Sie und alle anderen Mitglieder die
groesstmoegliche Sicherheit durch transparente, nicht-anonyme
Transaktionen auf unserer Plattform zu gewaehrleisten.
Wir gehen davon aus, dass Sie als gewissenhafter
Geschaeftspartner Verstaendnis fuer dieses Vorgehen haben und freuen
uns auf die weitere gute Zusammenarbeit mit Ihnen.
Wir machen Sie darauf aufmerksam, dass es Ihnen waehrend
dieser Sperrung untersagt ist, unser System in irgendeiner Hinsicht
zu nutzen. Das schliesst auch eine Neuanmeldung unter einem anderen
Namen ein. Jeglicher Versuch sich erneut anzumelden kann dazu
fuehren, dass Ihr Account unwiderruflich gesperrt bleibt.
Diese Sperrung entbindet Sie nicht von der Verpflichtung,
noch offene Gebuehren an eBay zu bezahlen.
Man hatte sich also bei Ebay gar nicht erst die Mühe gemacht, meine
(!) Beschwerde über den Identitätsdiebstahl zu lesen oder gar geeignete
Massnahmen zu ergreifen, sondern sperrte mich einfach aus dem System
aus. Vermutlich verkaufte der Betrüger in der Zwischenzeit fröhlich
weiter fiktive Güter bei Ebay.
Da Ebay anscheinend die Möglichkeiten der Identitätsfeststellung
durchaus geläufig sind, stellt sich mir die Frage, warum diese nicht
genutzt werden, bevor das Kind in den Brunnen gefallen ist. Ich halte
dies für grobe Fahrlässigkeit und mich würde interessieren, wie Ebay
diese Nachlässigkeit den um 70 Euro oder mehr betrogenen Opfern erklären
wird.
Versuch der Recherche
Ich antwortete auf diese Mail von Ebay:
> wir bedauern Ihnen mitteilen zu muessen, dass wir Ihren
eBay-
> Account aus einem der folgendenden Gruende sperren mussten:
> - Falsche oder unvollstaendige Angabe Ihrer Daten bei der
> Registrierung bzw. Angabe der Daten einer anderen Person.
> - Aenderung Ihrer Registrierungsdaten auf eine andere Person
> (unzulaessige Accountuebertragung).
Weder die eine noch die andere Behauptung trifft zu.
Bitte teilen Sie mir umgehend und verbindlich mit, wie Sie zu diesen
Behauptungen kommen.
Des weiteren warte ich noch immer auf die Bearbeitung meiner
Beschwerde vom 14.06., die ich hier nochmals beifüge; sollte dies
nicht innerhalb der von Ebay versprochenen 24-48 Stunden geschehen,
muss ich die Erstattung einer weiteren Strafanzeige gegen Ebay wegen
Nachlässigkeit und/oder Verschleppung in Erwägung ziehen. [...]
Nun bemühte sich Frau Barbara Graf von der sog. »Ebay- Sicherheit«
dann doch noch, meine Beschwerde zu lesen; Antwort:
Ich habe alle gefundenen Konten die Ihre Adressdaten
enthielten geprueft und gesperrt. Es ist demnach nicht mehr moeglich
in irgendeiner Weise unser System zu nutzen. Weiterhin kann ich
Ihnen mitteilen, dass dieA Adresse hdd-drive@web.de bei uns nicht
registriert ist.
Sie sollten ggf. in Betracht ziehen, den Vorgang bei der Polizei zur
Anzeige zu bringen.
Geben Sie bei einer eventuellen Anzeige der Polizei auch die
Kontodaten an, mittels derer eine Zahlung vorgenommen wurde. In der
Regel laesst sich damit am Sichersten die Identitaet und Adresse des
Kontoinhabers ermitteln.
Falls es notwendig sein sollte, dass polizeiliche Ermittlungen
vorgenommen werden, dann wird eBay mit den Polizeibehoerden
zusammenarbeiten und diese bei ihren Ermittlungen unterstuetzen.
Wir bedauern es aufrichtig, dass Sie eine derart unschoene Erfahrung
mussten.
Immerhin versuchte Ebay nicht, mich von einer Anzeige abzuhalten.
Dennoch wurden mir keinerlei handfeste Informationen geliefert, die ich
zur Anzeige bringen könnte; bis zu diesem Zeitpunkt hatte ich alles, was
ich über den Diebstahl meiner Identität wusste, aus drei
Telefongesprächen erfahren. Ich wage zu bezweifeln, dass die
Kriminalpolizei eine Anzeige gegen Unbekannt mit derart vagen Angaben
aufnehmen würde.
Ich bat Frau Graf von Ebay also erneut um konkrete Informationen zum
Ablauf der Auktion vom vergangenen Sonntag:
Die Adresse hdd-drive@web.de ist eine E-Mail-Adresse, kein
Ebay-Account; der Account, der mit meinen Adressdaten benutzt wurde,
sollten Ihnen nach Ihren Recherchen ja mittlerweile bekannt sein;
nach Angabe der Anrufer, deren Telefonnummern ich Ihnen bereits zur
Identifikation genannt habe, lautet der Ebay-Account "hdd-drive"
o.ä.; wie bereits geschrieben, habe ich derzeit keinerlei handfeste
Informationen über die abgelaufene Auktion ausser den drei
telefonischen "Beschwerden" mit sehr vagen Angaben, da Ebay ja die
abgelaufenen Auktionen verschleiert.
Da ich den Fall von Identitätsdiebstahl behördlich untersuchen
lassen will, benötige ich eben diese konkreten Informationen: Welche
Konten -- ausser meinem eigenen Ebay-Account (xxx) -- enthielten
meine Adressdaten, und welche Auktionen wurden darüber abgewickelt?
Wann wurden die jeweiligen Accounts registriert? Loggt Ebay die
betreffenden IP-Adressen, unter denen die Accounts registriert
werden, so dass die Kriminalpolizeit einen Ansatzpunkt für
Ermittlungen hat? Welche exakte Bankverbindung war bei dem
entsprechenden Account angegeben? Auch von der betreffenden
Festplattenauktion am vergangenen Sonntag benötige ich die Eckdaten
(wer hat wann was in welcher Quantität versteigert?)
Erneut erhielt ich eine automatisierte Empfangsbestätigung, die
wiederum die Bearbeitung innerhalb von 24 bis 48 Stunden zusagte.
Dieses Hin- und Her ging einige Tage so weiter; Ebay schickte nach
ein bis zwei Tagen Antworten, die aber nicht auf die gestellten Fragen
eingingen und offensichtlich aus Textbausteinen zusammengeglickt wurden.
Am 19.06.2003 13:52 teilte mir unter dem E-Mail <sicherheit@ebay.de>
ein Jochen Martens mit:
Unter der von Ihnen genannten E-Mail-Adresse und dem
Mitgliedsnamen liegt uns definitiv keine Anmeldung vor.
Leider koennen wir Ihnen die gewuenschten Angaben nicht
mitteilen.
Bitte haben Sie dafuer Verstaendnis, dass wir Daten unserer
Mitglieder aus Gruenden des Datenschutzes leider nur im Rahmen der
ueber die Plattform von eBay abgewickelten Auktionen an die
betreffenden Handelspartner weitergeben koennen, da wir ansonsten
gegen geltendes Recht verstossen wuerden.
Ich antwortete darauf am 19.06.2003 15:16:
Also haben mich unabhängig voneinander drei Ebay-
Mitglieder mit Telefonnummern aus unterschiedlichen Teilen der
Bundesrepublik irrtümlich angerufen, mir gegenüber falsche Angaben
über zufällig dieselbe fiktive Auktion mitgeteilt, die entsprechende
Auktion hat nämlich gar nicht stattgefunden, es wurde niemand
geschädigt und mein Ebay-Account wurde grundlos gesperrt?
Wurden meine Adressdaten tatsächlich bei einem anderen
Ebay-Account als bei meinem eigenen -- xxx -- verwendet? Wenn ja,
bei welchem? Wie soll ich Strafanzeige erstatten, wenn ich den
Behörden nicht einmal den virtuellen Ebay- Namen des betrügenden
Akteurs nennen kann?
Die drei Telefonnumern, die ich Ihnen genannt habe,
ermöglichen es Ihnen des weiteren nicht, die Ebay-Kunden sowie damit
die betreffende Auktion zu recherchieren -- sofern sie denn doch
stattgefunden haben sollte --, um mir die Eckadten dieser Auktion zu
übermitteln und mir eine Grundlage für eine Strafanzeige an die Hand
zu geben?
Ausserdem hat sich keiner der drei betroffenen Ebay-Kunden
über den Betrugsfall beschwert?
Wenn diese Annahmen zutreffen, gibt es keinen Grund für die
Sperrung meines Ebay-Accounts und erst recht keine Grundlage für
eine Strafanzeige.
[...]
Falls die Behauptung der drei Anrufer doch zutreffen
sollte, dass mein Name, meine Anschrift sowie meine Telefonnummer
bei einer Auktion bei Ebay in betrügerischer Weise verwendet wurden,
wäre ich dann ein beteiligter Handelspartner, oder werden die Daten
des *Betrügers* unter dem Deckmäntelchen des Datenschutzes vor mir
geschützt?
Ich kann einfach nicht nachvollziehen, dass es Ebay nicht
möglich sein, anhand der von mir gemachten Angaben zu verifizieren,
ob diese Transaktion vom Sonntag vor zwei Wochen stattgefunden hat,
und was dabei geschehen ist. Mich interessieren die "persönlichen
Daten" der möglicherweise betrogenen Ebay- Mitglieder überhaupt
nicht, ich habe ja deren Telefonnummern. Vielmehr möchte ich wissen,
ob es diese Auktion sowie die damit verbundenen Transaktionen unter
meinem Namen tatsächlich gegeben hat.
Ich verlange dabei keine internen Daten, die dem
Datenschutz unterliegen würden, sonden möchte nur exakt das
bestätigt (oder ggf. falsifiziert) bekommen, was an dem betreffenden
Sonntag auf der Ebay- Website für jedermann weltweit sichtbar
gewesen ist:
- hat die Auktion stattgefunden (ja oder nein)?
- haben sich andere Ebay- Mitglieder über den Betrugsfall
beschwert?
- wann genau hat die betreffende Festplattenauktion
stattgefunden (Startdatum und -zeit, Enddatum und -zeit)?
- was genau wurde versteigert, und in welcher Quantität, zu
welchem Preis?
- wer hat die Auktion durchgeführt (Ebay-Account, unter
welcher Adresse und Bankverbindung -- genau das, was ohnehin
öffentlich einsehbar war)?
- Welche Konten -- ausser meinem einen, eigenen
Ebay-Account (xxx) -- enthielten meine Adressdaten, und welche
Auktionen wurden darüber abgewickelt?
- Wann wurden die jeweiligen Accounts registriert?
Auf diese relativ einfach zu beantwortenden Fragen erhielt ich vom
sogenannten "eBay.de SicherheitsTeam" die folgende Antwort:
E-Mail am 23.06.2003 10:56 von <sicherheit@ebay.de>:
Bitte haben Sie dafuer Verstaendnis, dass wir Daten unserer
Mitglieder aus Gruenden des Datenschutzes leider nur im Rahmen der
ueber die Plattform von eBay abgewickelten Auktionen weitergeben
koennen, da wir ansonsten gegen geltendes Recht verstossen wuerden.
[...]
Aufgrund der Tatsache, dass derzeitig in Europa dem
Grossteil der Internetzugaenge routierende IP-Adressen zugewiesen
werden, ist bei der vorherrschenden Situation eine zuverlaessige
Verfolgung der
Internetaktivitaeten auf diesem Wege leider nur selten moeglich.
[...]
Wir moechten aber noch einmal verdeutlichen, dass eBay
selbst nicht
ermitteln kann.
Am 24.06.2003 13:24 schickte ich dann meine vorerst letzte E-Mail an
den Karnevalsverein von Ebay:
Ich fasse zusammen:
- Ebay verweigert jegliche Kooperation bei der Aufklärung
des vorliegenden Betrugsfalles;
- Ebay weigert sich, mir gegenüber offenzulegen, ob und in
welchem Umfang die Behauptungen der drei Anrufer zutreffen und ob
tatsächlich die beschriebene Auktion stattgefunden hat;
- Ebay unterstützt dadurch nicht nur die Verschleierung des
Betrugsfalles, sondern unternimmt auch nichts, um weitere
Betrügerein des betreffenden Ebay- Auktionators zu unterbinden oder
einen weiteren Missbrauch meiner persönlichen Daten zu unterbinden.
- darüber hinaus schliesst mich Ebay aus dem Ebay- System
grundlos aus und weigert sich auch auf mehrmaliges Nachfragen hin,
diese Massnahme zu begründen.
Zusammenfassung
Damit sollte wohl deutlich geworden sein, dass das sogenannte "eBay -
SicherheitsTeam" alles mögliche sein mag, sich aber definitiv nicht um
die Sicherheit des Ebay- Marktplatzes kümmern kann oder will.
Navigation
Anmerkungen
| | | | | | | | |  | | Hilfe | (anonymous) | Mai 26, 14:34 |
|
|
| |
 Sicherheitsteam: |
Name: Besucher
Online: 71 aktive User.
|
| Login |
Logout
|
|
Getprice.de: |
|
Shop@kefk.net: |
|
Kefk Network :
Shopping |
About |
Wiki
