eBay.de geklaut

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Original-URL des Artikels: <a href='http://www.golem.de/0408/33240.html' target='_blank'>http://www.golem.de/0408/33240.html</a> Veröffentlicht: 28.08.2004 12:57
      Domain-Probleme bei eBay.de
      eBay.de war vorübergehend nicht erreichbar
      Nutzer, die am Samstag morgen (28. August 2004) auf eBay.de zugreifen wollten, staunten nicht schlecht: Statt dem Online-Marktplatz steckte hinter der Seite plötzlich eine noch unfertige Clan-Website.
      Unklar ist vorerst, ob es sich dabei um einen mutwilligen Angriff auf eBay oder um technische Probleme handelte. Die bei der DENIC eingetragen Daten wiesen vorübergehend auf eine noch im Bau befindliche Clan-Website, die mittlerweile wegen zu hohen Traffic abgeschaltet wurde.
      Auch die Daten bei der DENIC sind mittlerweile wieder korrigiert, so dass in der Regel wieder die korrekten Seiten angezeigt werden sollten. Allerdings kann es bei einigen Nameservern durch Caching noch immer zu Problemen kommen.
      eBay selbst bestätigt den Vorfall in einer kurzen Mitteilung: Das Problem sei aber identifiziert und werde so schnell wie möglich behoben. Zu den Hintergründen schweigt sich eBay aus. (ji)
      Verwandte Artikel:
      10-Millionen-eBay-Auktion für Domain war Scherz (05.01.2000 10:13, <a href='http://www.golem.de/0001/5701.html)' target='_blank'>http://www.golem.de/0001/5701.html)</a>
      Links zum Artikel:
      eBay: <a href='http://www.ebay.de' target='_blank'>http://www.ebay.de</a>
      eBay (.com): <a href='http://www.ebay.com' target='_blank'>http://www.ebay.com</a>
      © 2004 by Golem.de
    • 28.08.2004 11:53
      Probleme bei ebay.de [zweites Update]
      Das Internet-Auktionshaus ebay.de war am Samstagmorgen möglicherweise das Opfer einer Hackerattacke. Laut DENIC gehörte die Domain für einige Stunden einer Privatperson und zeigte auf einen Server, der nach Angaben einiger Leser eine Kopie der Startseite von ebay.de zeigte. Momentan steht auf der vermeintlichen Kaperseite aber nur eine harmlose Statistikseite ohne Ähnlichkeit mit ebay. Inzwischen ist der Fehler behoben, die Domain zeigt wieder auf die richtige Ebay-Seite und auch der Eintrag bei der DENIC lautet wieder auf die echten Inhaber "EBay International AG". Es könnte allerdings einige Zeit dauern, bis das Update bei allen Name Servern zur Verfügung steht.
      Laut Information des Webhosters intergenia AG[1], bei dem die falsche Ebay-Seite lagerte, war wohl ein Domain-Hijacking-Versuch die Ursache der Probleme. Ein Kunde hat demnach die Domains ebay.de und amazon.de bestellt, was automatische Übertragungsanträge (KK) zur Folge hatte. Amazon hat den Antrag korrekt abgelehnt, doch das Ebay-System hat offensichtlich dem Antrag zugestimmt und damit die Domain fälschlicherweise freiwillig abgegeben -- anscheinend ein Fehler bei Ebay. Intergenia hat nach Bekanntwerden des Problems umgehend reagiert und die eigenen Nameserver wieder auf die echte Ebay-Seite umgebogen.
      Wer sich unsicher ist, ob sein Provider die richtige Ebay-Adresse liefert, sollte sich über ebay.com/de[2] einloggen. Alternativ kann man (unter Windows z.B. per "tracert ebay.de" auf der Kommandozeile) die IP von ebay.de abfragen. Wird eine mit 66.135 beginnende IP angezeigt wird, handelt es sich um den richtigen Eintrag. Die fehlerhafte Seite hatte eine mit 62.75 beginnende Adresse.
      (jow[3]/c't) (jow/c't)
      URL dieses Artikels:
      <a href='http://www.heise.de/newsticker/meldung/50463' target='_blank'>http://www.heise.de/newsticker/meldung/50463</a>
      Links in diesem Artikel:
      [1] <a href='http://www.intergenia.de' target='_blank'>http://www.intergenia.de</a>
      [2] <a href='http://www.ebay.com/de' target='_blank'>http://www.ebay.com/de</a>
      [3] mailto:jow@ct.heise.de
      Copyright © 2004 Heise Zeitschriften Verlag
    • 30.08.2004 17:48
      eBay.de: Domain-Kapern leicht gemacht
      Ein besonders dreister Fall[1] von Domain-Hijacking sorgte am Wochenende für Schlagzeilen[2]: Einem Kunden des Webhosters Intergenia[3] war es am vergangenen Freitag gelungen, die Domain eBay.de[4] auf seine Homepage umzuleiten. Am 28. August hatten verdutzte Surfer für einige Stunden unter eBay.de lediglich die Site eines deutschen Spiele-Clans zu sehen bekommen. Die Motive für die Piraterie sind bisher unklar.
      Klar dagegen ist, dass der Intergenia-Kunde mit einiger Dreistigkeit die eingebauten Sicherungen der deutschen Domain-Verwaltung aushebeln konnte. Nach vorläufiger Rekonstruktion der Ereignisse hatte er am 18. August bei seinem Webhoster Provider-Wechselanträge für sehr populäre Domains wie google.com, web.de, amazon.de und eben ebay.de gestellt. Er hatte vorgegeben, selbst Inhaber der Domains zu sein und diese nun zu Intergenia umziehen zu wollen. Intergenia leitete diese Anträge ungeprüft an die deutsche Registry DeNIC[5] weiter. Eine Blacklist habe immerhin dafür gesorgt, dass es beispielsweise nicht möglich war, google.com zu beantragen, teilte der Hoster mit. ebay.de und amazon.de waren aber in dieser Liste nicht verzeichnet.
      Gemäß den Providerwechselregelungen[6] fragte das DeNIC bei den bisherigen Providern per automatisch generierter E-Mail nach. Der Hoster von Amazon.de beispielweise antwortete umgehend mit einem "Not Acknowledged" (NACK) -- also einer Ablehnung der Domain-Übertragung. Vom in Kanada sitzenden eBay-Provider Tucows hörte das DeNIC trotz zweimaliger Nachfrage nichts. Die diesbezügliche Regelung der .de-Registry sieht für einen solchen Fall vor, dem Wechsel per AutoACK zuzustimmen, was das DeNIC auch tat.
      Am 27. August gegen 16 Uhr erhielt Intergenia die DeNIC-Zustimmung. Daraufhin änderte der Provider automatisiert die Inhaberdaten und leitete ebay.de auf die Kundenpräsenz auf dem eigenen Shared-Hosting-Server um. Am nächsten Morgen stellte man fest, dass der entsprechende Server wegen Überlastung in die Knie gegangen war und eine Menge Supportanfragen eingetrudelt waren. Zu diesem Zeitpunkt wurde auch das DeNIC aktiv und setzte aufgrund einer Benachrichtigung von eBay die Domain-Daten zurück.
      Bis sich eine solche Änderung beispielsweise unter den DNS-Servern im Internet herumspricht, kann schon einmal ein Tag vergehen. Intergenia stellte denn auch im Laufe des Tages fest, dass beispielsweise der Proxyserver von AOL die Änderung nicht aufgenommen hatte, sondern allen AOL-Surfern nach wie vor die Fehlerseite des Kölner Webhosters zeigte. In einer Telefonaktion bat man einige größere Provider, ihre Proxyserver manuell zu refreshen.
      Während die Versteigerungen unter der gewohnten Adresse von eBay nicht erreichbar waren, lief das System im Hintergrund weiter und Auktionen endeten, obwohl viele potenzielle Interessenten nicht mehr mitbieten konnten. Für die Verkäufer entstand dadurch ein finanzieller Schaden, der sich zwar kaum beziffern lässt, den sie aber sicherlich gerne ersetzt hätten. Die eBay-Regelungen für einen Systemausfall greifen in diesem Fall wohl kaum, weil eigentlich kein Ausfall vorlag.
      In einer Mitteilung hatte eBay erklärt, das System selbst sei zu keiner Zeit beeinträchtigt und Nutzer-Daten nicht gefährdet gewesen. So ganz sicher ist man sich da freilich wohl selbst nicht. Zumindest wandte sich das Online-Auktionshaus bereits am Samstag an das Bundeskriminalamt, das inzwischen Ermittlungen aufgenommen hat; offensichtlich befürchtete man eine Phishing-Attacke. Diese Befürchtung war nicht aus der Luft gegriffen: Aktiviert ein Nutzer am eBay-Frontend die Option "Ich möchte auf diesem Computer eingeloggt bleiben", so werden die Zugangsdaten dort gespeichert und per Cookie an den Server übertragen.
      Was also, wenn tausende eBay-Nutzer nun unwissentlich diese Daten an den falschen Server geschickt haben? Zu dieser und vielen anderen offenen Fragen hat eBay weder gegenüber seinen Nutzern noch den Medien Stellung bezogen. Auch Nachfragen von heise online blieben bisher unbeantwortet. Ein Intergenia-Mitarbeiter erklärte allerdings gegenüber heise online, die Sichtung der Webserver-Logfiles habe keine Anhaltspunkte für einen Phishing-Angriff ergeben.
      Bisher ungeklärt ist auch die Frage nach der Schuld für den Vorfall. Das DeNIC weist eine Verantwortung weit von sich. Mit einem zweistufigen Verfahren sei der Providerwechsel hierzulande besser abgesichert als bei vielen anderen Registries, erklärte DeNIC-Chefin Sabine Dolderer im Gespräch mit heise online: "In diesem Fall sind beide vorgesehenen Sicherungen fehlgeschlagen. Zuerst ist die Prüfung durch den neuen Provider wohl nicht erfolgt, und zum zweiten hat der alte Provider ebenfalls nicht im Sinne seines Kunden geprüft." Es handle sich also um eine Ausnahme. "Bei gut arbeitenden Providern ist es allgemein üblich, dass ein Providerwechsel, wenn kein Kundenwunsch vorliegt, grundsätzlich abgelehnt wird."
      Der schwarze Peter wird also teilweise in Richtung Kanada zum Provider Tucows gespielt. Wohl nicht ganz zu Unrecht: Domain-Experten können kaum fassen, dass Tucows den Wechselantrag von Intergenia nicht sofort mit einem NACK an das DeNIC zurückgewiesen hat. Das DeNIC sieht dennoch als Hauptübeltäter den Kunden von Intergenia, der offenbar bewusst beim Transferantrag geschwindelt hat. Dolderer kündigte an, eventuell Strafantrag gegen ihn stellen zu wollen.
      Nicht zuletzt muss sich allerdings auch Intergenia vorwerfen lassen, Providerwechsel nicht gemäß den DeNIC-Regelungen auszuführen beziehungsweise ihre Berechtigung zu überprüfen. "Diesen Schuh müssen wir uns anziehen", meinte denn auch Intergenia-Vorstand Thomas Strohe. Er wies darauf hin, dass eine Menge Webhoster die Überprüfung des Domain-Inhabers bisher unter den Tisch fallen lassen. Intergenia werde demnächst einen telefonischen Gegencheck einführen um sicherzustellen, dass der Providerwechsel seine Richtigkeit habe.
      (hob[7]/c't) (hob/c't)
      URL dieses Artikels:
      <a href='http://www.heise.de/newsticker/meldung/50522' target='_blank'>http://www.heise.de/newsticker/meldung/50522</a>
      Links in diesem Artikel:
      [1] <a href='http://www.heise.de/newsticker/meldung/50479' target='_blank'>http://www.heise.de/newsticker/meldung/50479</a>
      [2] <a href='http://www.heise.de/newsticker/meldung/50463' target='_blank'>http://www.heise.de/newsticker/meldung/50463</a>
      [3] <a href='http://www.racer.de' target='_blank'>http://www.racer.de</a>
      [4] <a href='http://www.ebay.de' target='_blank'>http://www.ebay.de</a>
      [5] <a href='http://www.denic.de' target='_blank'>http://www.denic.de</a>
      [6] <a href='http://www.denic.de/de/domains/verwalten/providerwechsel/index.html' target='_blank'>http://www.denic.de/de/domains/verwalten/p...hsel/index.html</a>
      [7] mailto:hob@ct.heise.de
      Copyright © 2004 Heise Zeitschriften Verlag