In einer der größten Verstöße gegen Nutzerdaten hat eBay gezeigt, dass seine Server im März 2014 kompromittiert wurden. Abgesehen von der Bestätigung, dass Mitarbeiterkonten kooptiert wurden, und der Empfehlung von eBay-Kontoinhabern, ihre Passwörter zu ändern, gibt es nichts anderes preis.
Also, was solltest du tun? Ändern Sie Ihr Passwort genug, oder sollten Sie weiter gehen? Vielleicht erstreckt sich Ihr Anliegen auch auf andere eBay-Dienste, insbesondere auf PayPal?
eBay erklärt, was passiert ist
In einem Blog-Beitrag mit dem Titel "eBay Inc., um eBay-Nutzer zu bitten, Passwörter zu ändern" am Mittwoch, den 21. Mai (nach einem früheren leeren Blog-Post, der die Sicherheitslücke durchgesickert ist und mehreren Nachrichtenagenturen den Sprung auf eBay ermöglichte), kündigte der Auktionsgigant an Das
"... eBay-Nutzer werden aufgefordert, ihre Passwörter aufgrund eines Cyberangriffs zu ändern, der eine Datenbank mit verschlüsselten Passwörtern und anderen nicht-finanziellen Daten gefährdet."
Der Beitrag geht weiter, um zu erklären, wie das Unternehmen (seltsamerweise in der dritten Person, was auf mangelnde Akzeptanz hinweist) keinen Beweis gefunden hat, dass Finanz- und Kreditkarteninformationen nach dem Angriff, der Ende Februar und Anfang März stattfand, kompromittiert wurden ". Zu den kompromittierten Informationen gehörten "eBay-Kundenname, verschlüsseltes Passwort, E-Mail-Adresse, physische Adresse, Telefonnummer und Geburtsdatum."
EBay besteht darauf, dass es die Angelegenheit ernst nimmt und derzeit "arbeitet mit Strafverfolgungsbehörden und führenden Sicherheitsexperten, das Unternehmen untersucht aggressiv die Angelegenheit und wendet die besten forensischen Werkzeuge und Praktiken an, um Kunden zu schützen."
Wie wurden Ihre eBay-Daten beeinträchtigt?
Nachdem eBay die Sicherheitslücke vor zwei Wochen entdeckt hatte, erwähnte eBay die "kompromittierten Anmeldeinformationen der Mitarbeiter", die für das Eindringen verantwortlich sind. Eine forensische Untersuchung "identifizierte dann die kompromittierte eBay-Datenbank", wo persönliche Daten - für jeden einzelnen eBay-Nutzer - gespeichert werden.
Vielleicht möchten Sie diesen letzten Absatz noch einmal lesen.
Zu diesem Zeitpunkt ist noch nicht klar, wie die eBay-Mitarbeiterkonten kompromittiert wurden. Ein Vorschlag ist, dass sie möglicherweise einem Phishing-Angriff zum Opfer gefallen sind, bei dem eine gefälschte E-Mail gesendet wurde, in der sie aufgefordert wurden, sich anzumelden und ihr Passwort auf einer überzeugenden Website zurückzusetzen. Eine Alternative - und das sind nur Spekulationen, da eBay mit wenig Details über diese schändliche Angelegenheit erschienen ist - ist, dass der Bruch durch einen internen Angriff ermöglicht wurde. Könnte ein Mitarbeiter diese Pause gemacht haben?
Beachten Sie auch die Anzahl der Konten: persönliche Daten von 145 Millionen Menschen wurden offenbar gestohlen. Wenn dieses Eindringen das Ergebnis der Kompromittierung von Mitarbeiterkonten war, gab es dann eine einzelne Person, die Zugriff auf alle 145 Millionen Datensätze hatte?
Die Zeitlinie stimmt unterdessen mit dem Heartbleed-Sturm überein. Gefahr bestätigt: Heartbleed öffnet Crypto-Schlüssel zu Hackern Gefahr bestätigt: Heartbleed öffnet Crypto-Schlüssel zu Hackern Die Debatte ist vorbei, ob die neue OpenSSL Heartbleed-Schwachstelle genutzt werden könnte private Verschlüsselungsschlüssel von anfälligen Servern und Websites. Cloudflare hat bestätigt, dass private Verschlüsselungsschlüssel gefährdet sind. Weiterlesen . Im April hat eBay die Nutzer beruhigt:
1) Ihr eBay-Konto ist sicher
2) Ihre eBay Kontodaten wurden in der Vergangenheit nicht veröffentlicht und bleiben sicher
3) Sie müssen keine zusätzlichen Maßnahmen ergreifen, um Ihre Informationen zu schützen
4) Sie müssen Ihr Passwort nicht ändern
In der Zwischenzeit berichtete Passautomatic, dass der Startup-Password-Changing-Service "alle seine Partner den Fehler behoben hat. Unter ihnen sind eBay. "
Könnte Heartbleed die Route zu eBay gewesen sein? Oder, peinlicher, könnte sich der Fokus auf die OpenSSL-Schwachstelle als sehr kostspielige Ablenkung für das Online-Auktionshaus erweisen?
Umgang mit der Sicherheitsverletzung
Einer der wichtigsten Aspekte in diesem Fall ist die Zeitleiste. Es ist bemerkenswert, dass eBay den Bruch nicht früher erkannt hat, was auf einen Hacking-Vorgang mit bestimmten Fähigkeiten hinweisen könnte (ebenso könnte es bedeuten, dass die Datenbanksicherheit von eBay nicht für den Zweck geeignet ist).
Nach der Ankündigung behauptete eBay, dass "Benutzer per E-Mail, Website-Kommunikation und anderen Marketing-Kanälen benachrichtigt werden, um ihr Passwort zu ändern". Bisher wurden jedoch keine E-Mails empfangen, und nur soziale Netzwerke geben Benachrichtigungen aus.
Was Sie vielleicht nicht über eBay, Inc. wissen, ist, dass es nicht nur die beliebte Online-Auktions-Website www.ebay.com und seine internationalen Varianten besitzt, sondern auch PayPal besitzt.
Die unbilligen, limitierten Details von eBay machen ihnen keinen Gefallen. Während sie behaupten, dass ihre anderen Unternehmen von dieser Verletzung nicht betroffen sind, ist es Tatsache, dass, wenn eBay nicht beweist, dass sie das sicher wissen, es keine Möglichkeit gibt, dieser Behauptung zu vertrauen.
Realistisch ist dies eine Sicherheitsverletzung katastrophaler Ausmaße. Die Menge und Tiefe der Daten, die von Konten gestohlen werden, ist beispiellos.
Erschwerend kommt hinzu, dass Phishing-E-Mails jetzt weltweit in Posteingängen ankommen, da Betrüger versuchen, die Lücke zu schließen (obwohl ein ungewöhnlicher Aspekt darin besteht, dass die Daten noch nicht auf der dunkleren Seite des Internets aufgetaucht sind, was zu einigen uninformierten Spekulationen führt, dass der Bruch wenig mehr als eine PR-Übung ist.)
Die obige Bildschirmkappe wurde am Mittwoch, dem 21. Mai, aufgenommen, als die Nachrichten über das Leck bekannt wurden. Keine Warnungen oder Ratschläge zu finden!
Einige andere Dinge, die Sie beachten sollten. Ab Januar 2013 gab es weltweit 112, 3 Millionen aktive Nutzer; 145 Millionen Datensätze sollen gestohlen worden sein. Dies lässt das Potenzial für die Entführung von rund 30 Millionen ungenutzten Konten offen - mehr als genug, um die internen Ratings und das Vertrauenssystem von eBay zu zerstören, sollten die Hacker sich dafür entscheiden. Vertrauen ist der Schlüssel zum Geschäftsmodell von eBay, und ohne sie könnten ihre Tage gezählt werden.
Dann gibt es die Bitte an Leute, ihre Passwörter zu ändern. Die Website hat bereits Leistungsprobleme aufgrund von Meldungen über die Sicherheitsverletzung erfahren, da die Nutzer zu eBay strömten, um mit dem Ändern von Kennwörtern zu beginnen.
Deshalb empfehlen wir, unser ebay-Passwort zu ändern, weil es gehackt wurde ... aber ich kann nicht wegen des hohen Verkehrs. cool.
- Angela (@CriSPilyMEEE) 22. Mai 2014
@eBay_UK Passwort-Reset funktioniert nicht Wir können die Passwörter auf keinem unserer Accounts ändern, senden den Link zum Zurücksetzen der E-Mail, behalten aber die Schleife
- Tier 1 Online (@ tier1online) 22. Mai 2014
Das ist, wenn die Benutzer sogar die Option zum Ändern des Passworts finden können (Hinweis: Klicken Sie auf das Passwort vergessen, um Zeit zu sparen).
Wie in aller Welt ändern Sie Ihr eBay-Passwort? Die Benutzeroberfläche ist grauenhaft. Ping @stilgherrian
- Justin Warren (@jpwarren) 21. Mai 2014
Die Finanzdatenfrage: Sind Ihre Kartendetails sicher?
EBay besteht darauf, dass keine Finanz- oder Kreditkartendaten kompromittiert wurden, nur Benutzernamen, Passwörter und E-Mail-Adressen.
Dies ist ein Versuch der Schadenskontrolle, um die Empörung zu minimieren.
Angenommen, Sie möchten auf Ihre eBay-Kartendaten zugreifen. Was würden Sie tun? Melden Sie sich mit Ihrem Benutzernamen und Passwort an. Während die Kartennummer weitgehend verdeckt ist (abgesehen von den letzten vier Ziffern), gibt es möglicherweise genug Informationen, um einem Hacker zu geben, was er benötigt, vom Ablaufdatum der Karte bis zur Bestätigung Ihres Kartentyps, wie oft Sie ihn benutzt haben. Diese Information ist sicherlich ausreichend, um eine Einzelperson als Ziel auszuwählen, und wenn sie mit anderen Konten in Querverbindung gebracht wird, möglicherweise mehr.
Denken Sie daran, Ihre Online-Identität ist im Grunde ein Datensatz Ihrer physischen Identität. Jedes Element - Name, Geburtsdatum, Adresse - ist wie ein Puzzle. Je mehr Stücke gefunden werden, desto größer wird das Bild, wer du bist.
Was sollten Sie tun, um Ihre Daten zu schützen?
eBay hat erklärt, dass seine Geschäfte alle getrennt gehalten werden. Die Folge davon sollte sein, dass PayPal-Daten vollständig von eBay-Daten isoliert gehalten werden.
Da das Unternehmen jedoch nicht genau wusste, wie der Verstoß erfolgte und welche Mitarbeiter betroffen waren, gibt es keinen Grund, diesen Kommentar ernst zu nehmen.
Daher empfehlen wir Ihnen, sowohl Ihre eBay- als auch Ihre PayPal-Passwörter zu ändern. Stellen Sie sicher, dass diese unterschiedlich sind und nicht mit denen übereinstimmen, die für andere Online-Konten verwendet werden. Beachten Sie außerdem den Rat von eBay und wenden Sie sich an andere Online-Konten, die dasselbe Passwort verwenden. Unsere Tipps zum Erstellen eines sicheren Passwort 7 Möglichkeiten, um Passwörter, die beide sicher und unvergesslich sind 7 Wege, um Passwörter, die sowohl sicher und unvergesslich zu machen Ein neues Passwort für jeden Service ist ein Muss in der heutigen Online-Welt, aber es ist eine schreckliche Schwäche zu zufällig erzeugten Passwörtern: es ist unmöglich, sich an alle zu erinnern. Aber wie kannst du dich vielleicht erinnern ... Read More sollte dir hier helfen. Sie können diese auch in einem sicheren Dienst oder einer App wie LastPass speichern.
In den USA bietet PayPal ein Zwei-Faktor-Authentifizierungssystem mit einem kleinen Handheld-Tool, um einen Code zu erstellen. Während es scheint, dass es kein ähnliches System für eBay gibt, können Sie tatsächlich eines für die Auktions-Website in die Hände bekommen, nachdem Sie sich für das PayPal-Gerät angemeldet haben. Wie Sie sehen können, war die Implementierung und die Werbung für diese Tools mangelhaft, aber die Zwei-Faktor-Authentifizierung ist ein Muss für jeden Onlinedienst, der Daten über Sie speichert.
Denken Sie daran, dass dies Ihre Daten sind, die eBay zugibt, verloren zu haben. Ihr Name, Adresse, Telefonnummer, Geburtstag ... Sie können Ihr Passwort ändern, aber Sie können es nicht ändern.
Dieser Verstoß ist für eBay katastrophal
Wie bereits erwähnt, glauben wir, dass die Änderung Ihrer Passwörter und die Einführung der Zwei-Faktor-Authentifizierung (falls verfügbar) für eBay und PayPal die beste Vorgehensweise ist.
Wenn wir jedoch den Mangel an Informationen über die Verletzung, die Möglichkeit eines internen Angriffs, das Fehlen von Daten zum Verkauf, das Potenzial für 30 Millionen Zombie-Konten zerstören eBay-Verkäufer Vertrauenswürdigkeit und seine Unfähigkeit, mit Passwort-Resets zu bewältigen Es bleibt eine Frage, die gestellt werden muss. Möchten Sie wirklich Mitglied einer Website sein, die auf diese Weise Benutzerdaten und Sicherheitsverletzungen behandelt?
Wenn Sie denken "aber eBay ist die einzige anständige Auktions-Website!", Dann liegen Sie völlig falsch, denn es gibt viele Alternativen, die Sie sich bei Fed Up With eBay ansehen sollten? Hier sind einige würdig (und billiger) Alternativen für Verkäufer mit eBay satt? Hier sind einige würdige (und billigere) Alternativen für Verkäufer Wenn Sie Ihren überschüssigen Trödel online verkaufen wollen, wohin gehen Sie? Für die meisten Menschen ist eBay die einzige Antwort. Mit Millionen von täglichen Nutzern scheint es nur logisch, die ... Lesen Sie mehr.
Wir möchten Sie jedoch ermutigen, diese Angelegenheit ernst zu nehmen. Es könnte Ihre gestohlenen Daten nicht speichern, aber genug Leute, die mit ihren Füßen wählen, werden andere Unternehmen veranlassen, in diesen Situationen in Zukunft verantwortlich zu handeln.
Haben Sie eine E-Mail von eBay erhalten? Hast du dein Passwort schon geändert? Was denkst du über diesen Verstoß?
Lass uns deine Gedanken in den Kommentaren wissen.
Bildquelle: wk1003mike via Shutterstock.com