eBay Kleinanzeigen: Mein Account wurde gehackt – was tun?

Artikel ansehen

Bin mal gespannt, ob dich ein Opfer wegen Betrugs verklagt, idR ziehen die eigentlichen Betrüger die Kommunikation ohnehin möglichst schnell auf andere Plattformen.

Habe es ohnehin nie verstanden, warum es bei ek kein (optionales) Postident gibt.

Und wie hätte das in diesem Fall geholfen?

1 Keine Zwei-Faktor-Authentifizierung
2 Kein temporärer Papierkorb
3 Löschen von Nachrichten ohne E-Mail Benachrichtigung möglich
4 Abschaltbare Mailbenachrichtigung (ohne E-Mail Benachrichtigung)
5 Keine Warnmail über einen neuen unbekannten Login

1 2FA: hätte man bei einem alten Account auch nicht aktiviert, wenn in den letzten Jahren eingeführt worden wäre, schließlich „alter“ und „ungenutzter“ Account. Für die Zukunft natürlich ein sinnvolleres Feature.
2 Finde ich auch sinnvoll, aber auf anderen Plattformen möchte man auch den Papierkorb selbst löschen können.
3 Auf welcher Plattform bekommt man eine E-Mailbenachrichtigung, wenn man seine eigenen Nachrichten löschen?
4 Die abschaltbare Mailbenachrichtigung ist auf vielen Plattformen ein gern gesehenes und genutztes Feature, u. a. in Foren, denn nicht für alles will man immer benachrichtigt werden.
5 Wenn nicht dauerhaft Daten über den Anwender gesammelt werden, kann man auch keine Warnmail schreiben. Bei anderen Seiten ärgert man sich immer über die Sammelwut, immer der Zwist: „Wie viele Daten sammel ich und werte ich aus?“

Versteh mich nicht falsch, ich verstehe die Gedanken grundsätzlich, aber in einem anderen Kontext (wie Datenschutz und Usability) finde ich einige der Ideen nicht so toll. Und am Ende ist es so: es gibt sicherlich noch einige Projekte im Netz, wo man früher aktiv war und seine Daten nicht komplett gelöscht hat. Früher gab es eben gewisse Möglichkeiten (2FA) auch nicht, das muss man auch realistisch betrachten. In dem Fall hattest du auch noch Glück, dass das Passwort zu deinem E-Mailkonto nicht identisch war, denn einige 2FA laufen auch über E-Mail, sodass selbst das auf den Seiten nicht geholfen hätte.

Zukunftsgerichtet sind die Punkte natürlich positiver zu bewerten und E-Mailpseudonyme und Passwort-Manager machen vieles auch erheblich leichter in der Umsetzung.

Manche Dienste erlauben kein Pluszeichen in der Mailadresse, wenn man sich dort registriert. Mit Punkten „[email protected]“ sollte das ebenfalls funktionieren. Landet alles in derselben GMail Inbox.

Gehackt wurde ich selber noch nicht, aber über eine EMail Adresse, die ich Ebay gegeben habe, kam mal Spam. Ebay wurde glaube ich 2014 gehackt. Dummerweise war das meine Hauptadresse anstatt einem Alias. Ich konnte das dann aber doch einigermaßen lösen. Es wurde ein neuer Alias angelegt (bei Arcor/Vodafone gibts 15 Aliase kostenlos) und bei Ebay eingetragen. Da kam ein Brief mit der Post, wo ich die neue EMail Adresse bestätigen musste. Und dann noch einen Filter für die Hauptadresse eingerichtet, dass alles was da reinkommt ungesehen in den Spamordner verschoben wird. Dann war wieder Ruhe. Bin jetzt seit ca. 5 Jahren 100% Spam-frei.

Aber sind Aliase bei GMail denn überhaupt noch nötig? Deren Spam-Filter ist doch so gut, die filtern gleich alles weg, da müsste man doch gar nichts mehr mitbekommen.

1 Like

Und wie hätte das in diesem Fall geholfen?

Mein Kommentar zielte primär auf die seit über 10 Jahren existierenden Scams mit den Versand nach England und Co ab.

Hier hätte es aber u. U. auch geholfen. ek erlaubt nur maximal 1 Account pro Person, mit Postident würde das Verifizieren des 2. Accounts (aktueller Account) nicht funktionieren. Der Autor hätte also wohl oder übel den ersten Account (alten Account) weiter verwenden müssen und bei diesen eMail-Adresse und ggf. Passwort geändert. Vielleicht wäre das Problem dann gar nicht erst entstanden.

Danke für deinen umfangreichen Kommentar!
Zum Papierkorb. Primär wäre dabei mir der Wunsch da, dann eine Mailnachricht zu verschicken, wenn dieser geleert werden würde. Genauso, wenn der Mailversand der Nachrichten deaktiviert wird, so als Bestätigung. Zu fünft wären da sicher genug Daten vorhanden. Es reicht ja, wenn ein Cookie für das bekannte Gerät gesetzt ist. Besser wäre natürlich ein Log des OS/Netzproviders/Geräts, so wie es die anderen tun.

Usability steht in der Regel immer der Sicherheit entgegen. Leider steht der Schutz der Mitglieder bei eBay Kleinanzeigen nicht im Vordergrund.

Ich glaube mit Postident Zwang, hätte ich eBay Kleinanzeigen nie verwendet. So ein Zwang würde auch enorme Kosten verursachen, die dann jemand tragen müsste. Und damit wären die kostenlosen Kleinanzeigen so ziemlich Geschichte.
Aber spielen wir das Spiel mal weiter, wieso nicht? Ich habe mittlerweile einen neuen Ausweis bekommen und eine neue Adresse. Die Daten wären also unterschiedlich gewesen. Damit sollte doch eine Anlage eines neuen Accounts möglich gewesen sein, oder?

Ein Alias filtert ja nicht nur Spam. Er kann sicherstellen, dass dein Gegenüber die richtige Mailalias kennt. Damit bist du mit einem Faktor mehr gegen Phishing geschützt, da ein Angreifer diese ja auch kennen müsste.

Ja, gegen solche Scams ist KYC natürlich sinnvoll. Allerdings widerspricht das auch einfach dem Prinzip von „Kleinanzeigen“, die eBay damit eigentlich nur digitalisieren wollte. Ein deutschlandweiter / internationaler Versand war ursprünglich sicherlich nicht angedacht, zu dem es immer mehr verkommen ist. Bei Verkäufen von Haus zu Haus hätte man diese Problematik vermutlich nicht.

Da würde ich behaupten wollen, dass du damit eher allein bist. In 99,9% der Fälle wird die Aktion vom rechtmäßigen Account-Inhaber durchgeführt und da kenne ich keinen, der über seine Aktionen noch eine E-Mail-Erinnerung haben möchte. Die erzeugt schließlich auch wieder den Aufwand, sie zu löschen, oder landet gleich im Spam.

Ich fände es immer noch schön, wenn die Seiten so wenig wie möglich Daten über mich speichern. Cookies werden bei mir auch automatisch gelöscht, so wie es (meiner Meinung nach) auf jedem PC eingestellt sein sollte, aber das bleibt wohl ein Wunschtraum.

Sehr nervige Dienste! Die Punktlösung kannte ich noch nicht, ist aber auch auf die Länge der E-Mail begrenzt und ohne Stichwort auch schwierig nachträglich zuzuordnen, wo man die Adresse verwendet hat. Dennoch danke dafür!
Abgesehen vom bereits von honeybee genannten Punkt, dass der Alias für jede Seite bekannt sein muss, weißt du auch durch den Alias direkt, auf welcher Seite es eine Datenlücke gab. Allerdings sind natürlich auch Hacker so clever, die Aliase bei GMail-Adressen sofort zu filtern, sodass im späteren Datensatz eventuell nur noch die Hauptadresse steht.

Postident habe ich vor zwei Jahren mal gemacht, um eine Prepaid Sim-Karte fürs Handy nutzen zu können. Da gab es eine Option, das Postident-Verfahren elektronisch bei der Post abzuspeichern. Man muss das dann nur ein einziges mal machen, und wenn man sich bei dem nächsten Anbieter mit Postident registrieren will, kann man das online erledigen, ohne nochmals einen Ausweis vorzeigen zu müssen oder einen Videochat zu starten. Ich habe die Option nicht genutzt, kann also nicht sagen, wie das in der Praxis funktioniert.

Das mit den Aliasen ist ja bei Apple inzwischen Standard, dass man dort beim „Anmelden mit Apple“ einen Haken setzen kann, so dass der Anbieter nicht die echte Mailadresse zu sehen bekommt. Das dürfte dann auch besser funktionieren als bei Vodafone, weil das E-Mail-Programm ja nichts über Aliase weiß. Antwortet man also auf eine Mail, die über einen Alias eintrudelt, bekommt der Empfänger trotzdem die echte Adresse. Das kann man auflösen, indem man eine Weiterleitung einrichtet, über den Anbieter mit den Aliasen also nix selber versendet. Leider war die Weiterleitungsfunktion bei Vodafone vor einem Jahr defekt, die haben da auf eine neue Software umgestellt. Müsste ich wieder mal checken, ob das jetzt geht. Wie die Gmail App für Android das handhabt, weiß ich nicht. Bei Firefox gibt es noch das Relay, das erlaubt ebenfalls das Verstecken der echten Mailadresse. Allerdings braucht man dafür eine Erweiterung im Browser, und ob Mozilla das 20 Jahre lang durchhält, wenn die Einnahmen wegfallen, ist ebenfalls fraglich. Dann muss man plötzlich zahlen oder man darf seine 50 Aliase überall neu einrichten.

Microsoft drängt ja jetzt auf TPM, und in ein paar Jahren sind Passwörter dann hoffentlich Geschichte.

Ebay-Kleinanzeigen wurde ja im Sommer 2020 an den norwegischen Konzern Adevinta (u.a. Shpock.de) verkauft, gehört also nicht mehr zu Ebay.
Bedingung war, das Adevinta den Namen (und somit auch die Domain) nur noch für höchstens drei Jahre weiterführen darf. Das bedeutet natürlich auch, dass es bald Ebay-Kleinanzeigen in dieser Form gar nicht mehr geben wird. Erst vor Kurzem wurde im TV berichtet, dass die Plattform komplett umgebaut werden soll - der Launch (unter neuem Namen und Domain) soll wohl im ersten oder zweiten Quartal 2022 stattfinden…