Have I Been Pwned: Ebay Kleinanzeigen sperrt kompromittierte Passwörter

Ebay-Kleinanzeigen will den unberechtigten Zugriff auf Nutzerkonten künftig erschweren. Dazu gleicht das Portal die Passwörter seiner Nutzer bei der Registrierung und beim Login mit der Datenbank von Have I been Pwned ab, die kompromittierte Passwörter sammelt. Ebenfalls erhielten die Nutzer neue Warnhinweise vor den Risiken von Phishing, teilte das Portal am 15. März 2023 mit.

"Viele Nutzer gehen noch immer leichtfertig mit ihren Passwörtern um, obwohl der Schaden durch Datendiebstahl oder Identitätsmissbrauch erheblich sein kann", sagte Paul Heimann, CEO von Ebay Kleinanzeigen, und fügte hinzu: "Aus diesem Grund haben wir die Regeln für die Passwortvergabe verschärft. Mit der Prüfung der Passwörter auch bei Bestandskonten gehen wir nun einen Schritt weiter."

Beim Login vergleicht das Portal den Hashwert des Passwortes mit der Datenbank von Have I been Pwned, die aktuell 350 Millionen Einträge enthält. Aus der Datenbank selbst lassen sich keine Rückschlüsse auf die damit verbundenen Nutzer oder E-Mail-Adressen finden. Allerdings kursieren im Internet die Datenbanken von Hacks. Damit können Betrüger versuchen, sich mit den Login-Daten in anderen Diensten einzuloggen. Zudem lassen sich mit genügend Rechenaufwand aus den Hashwerten die tatsächlichen Zeichen von Passwörtern berechnen.

Betrugsversuche und Phishing sind ein weit verbreitetes Problem auf Ebay-Kleinanzeigen. Normalerweise versuchen die Betrüger, mithilfe von Whatsapp-Nachrichten oder SMS die Nutzer auf Kommunikationskanäle außerhalb des Portals zu locken. Gelingt es Kriminellen, den bereits existierenden Account eines Nutzers zu übernehmen, können über diesen Zugang andere Nutzer betrogen werden.

Jedes fünfte Passwort war kompromittiert

Dem Portal zufolge lag vor Einführung der Maßnahme der Anteil der Anwender, die kompromittierte Passwörter nutzen, noch bei etwa 20 Prozent. Dieser Wert sei mittlerweile auf einen geringen einstelligen Prozentsatz gesunken. Beim Registrieren verlangt das Portal eine Passwortlänge von mindestens 8 Zeichen, zudem muss das Passwort mindestens einen Großbuchstaben, einen Kleinbuchstaben, ein Sonderzeichen und eine Zahl enthalten.

Zum Schutz vor Phishing zeigt das Portal zudem Warnhinweise bei Versand beziehungsweise Erhalt sensibler Informationen an. Geben Nutzer in einer Nachricht eine E-Mail-Adresse, Telefonnummer oder Bankverbindung an, werden sie auf das damit verbundene Risiko hingewiesen und müssen den Versand der Nachricht nochmals bestätigen. Bei Erhalt entsprechender Informationen wird ein Warnhinweis ("Vorsicht, Sicherheitsrisiko!") unmittelbar unterhalb der jeweiligen Nachricht eingeblendet. Ebenfalls erhalten die Nutzer weitere Informationen sowie Tipps zum Schutz vor Phishing.