Strona główna Bezpieczeństwo Naruszenie danych w serwisie eBay To, co musisz wiedzieć

Naruszenie danych w serwisie eBay To, co musisz wiedzieć

  • Joseph Goodman
  • 0
  • 2314
  • 111
Reklama

Co do jednego z największych jak dotąd naruszeń danych użytkowników, eBay ujawnił, że w marcu 2014 r. Jego serwery zostały przejęte. Poza potwierdzeniem, że konta pracowników zostały dokooptowane i doradzeniem posiadaczom kont w serwisie eBay, aby zmienili swoje hasła, nie ujawnia nic więcej.

Co powinieneś zrobić? Czy wystarczy zmienić hasło, czy może pójść dalej? Być może twoje obawy dotyczą innych usług należących do serwisu eBay, w szczególności PayPal?

eBay wyjaśnia, co się stało

W poście na blogu “eBay Inc. Aby poprosić użytkowników eBay o zmianę haseł” w środę 21 majaśw (po wcześniejszym pustym wpisie na blogu, który ujawnił naruszenie bezpieczeństwa, umożliwiając kilku serwisom informacyjnym skakanie na eBayu) gigant aukcyjny ogłosił, że

“… Poprosi użytkowników serwisu eBay o zmianę hasła z powodu cyberataku, który naruszył bazę danych zawierającą zaszyfrowane hasła i inne dane niefinansowe.”

W dalszej części posta wyjaśniono, w jaki sposób firma (dziwnie pisząc w trzeciej osobie, co wskazuje na brak akceptacji) nie znalazła dowodów na to, że informacje finansowe i dotyczące karty kredytowej zostały naruszone w wyniku ataku, który miał miejsce podczas “na przełomie lutego i marca”. Zawarte informacje o naruszeniu “Imię klientów eBay, zaszyfrowane hasło, adres e-mail, adres fizyczny, numer telefonu i datę urodzenia.”

EBay nalega, aby potraktować sprawę poważnie i jest obecnie “Współpracując z organami ścigania i wiodącymi ekspertami ds. Bezpieczeństwa, firma agresywnie bada tę sprawę i stosuje najlepsze narzędzia i praktyki kryminalistyczne w celu ochrony klientów.”

W jaki sposób zostały naruszone Twoje dane w serwisie eBay?

Po wykryciu naruszenia bezpieczeństwa około dwa tygodnie temu eBay wspomniał o nim “zagrożone dane logowania pracownika” które są winne włamania. W takim razie dochodzenie kryminalistyczne “zidentyfikował zainfekowaną bazę danych eBay” gdzie przechowywane są dane osobowe - dla każdego użytkownika serwisu eBay.

Możesz przeczytać ponownie ten ostatni akapit.

W tym momencie nie jest jasne, w jaki sposób zostały naruszone konta pracowników w serwisie eBay. Jedną z sugestii jest to, że mogli oni zostać skazani na atak phishingowy, na który wysłano fałszywy e-mail z prośbą o zalogowanie się i zresetowanie hasła na przekonującej stronie. Alternatywą - a są to jedynie spekulacje, ponieważ eBay pojawił się z niewielkimi szczegółami na temat tego haniebnego romansu - jest to, że naruszenie było możliwe dzięki atakowi wewnętrznemu. Czy pracownik mógł przeprowadzić tę przerwę??

Weź również pod uwagę liczbę kont: dane osobowe 145 milionów ludzi najwyraźniej zostały skradzione. Jeśli ta ingerencja była wynikiem naruszenia bezpieczeństwa kont pracowników, czy istniała jedna osoba, która miała dostęp do wszystkich 145 milionów rekordów?

Tymczasem oś czasu pokrywa się z burzą Heartbleed. Potwierdzone niebezpieczeństwo: Heartbleed naprawdę otwiera klucze szyfrujące dla hakerów Niebezpieczeństwo potwierdzone: Heartbleed naprawdę otwiera klucze kryptograficzne dla hakerów Debata dotyczy tego, czy można wykorzystać nową lukę OpenSSL Heartbleed, aby uzyskać prywatne klucze szyfrujące z wrażliwych serwerów i stron internetowych. Cloudflare potwierdził, że prywatne klucze szyfrujące są zagrożone. . W kwietniu eBay zapewnił użytkowników:

1) Twoje konto w serwisie eBay jest bezpieczne

2) Dane Twojego konta w serwisie eBay nie były wcześniej ujawniane i pozostają bezpieczne

3) Nie musisz podejmować żadnych dodatkowych działań w celu ochrony swoich informacji

4) Nie ma potrzeby zmiany hasła

Tymczasem usługa zmiany hasła startowego Passomatic zgłosiła to “wszyscy jego partnerzy dokonali poprawki. Wśród nich są eBay.”

Czy Heartbleed może być drogą do eBayu? Lub bardziej zawstydzające, czy skupienie się na podatności na OpenSSL może okazać się bardzo kosztowną rozrywką dla internetowego domu aukcyjnego?

Radzenie sobie z naruszeniem bezpieczeństwa

Jednym z najbardziej niepokojących aspektów tej sprawy jest oś czasu. Wydaje się niezwykłe, że eBay wcześniej nie wykrył naruszenia, co może wskazywać na działanie hakerskie o określonych umiejętnościach (może to również oznaczać, że bezpieczeństwo bazy danych eBay nie jest odpowiednie).

Po ogłoszeniu eBay twierdził, że “użytkownicy zostaną powiadomieni za pośrednictwem poczty e-mail, komunikacji w witrynie i innych kanałów marketingowych o zmianie hasła”. Jednak do tej pory nie otrzymano żadnych wiadomości e-mail, a jedynie sieci społecznościowe wysyłają powiadomienia.

To, czego możesz nie wiedzieć o eBay, Inc. to fakt, że jest on nie tylko właścicielem popularnej witryny aukcyjnej www.ebay.com i jej międzynarodowych wariantów, ale także PayPal.

Nieszczęśliwe, ograniczone szczegóły publikowane przez eBay nie robią im żadnych przysług. Chociaż twierdzą, że naruszenie to nie ma wpływu na ich inne firmy, faktem jest, że dopóki eBay nie udowodni, że wiedzą to na pewno, nie ma sposobu, abyśmy mogli zaufać temu twierdzeniu.

Będąc realistycznym, jest to naruszenie bezpieczeństwa o katastrofalnych proporcjach. Ilość i głębokość danych skradzionych z kont jest niespotykana.

Co gorsza, wiadomości phishingowe docierają teraz do skrzynek odbiorczych na całym świecie, gdy oszuści próbują zarabiać na naruszeniu (chociaż niezwykłym aspektem tej sprawy jest to, że dane nie pojawiły się jeszcze po ciemniejszej stronie Internetu, co prowadzi do pewnych niedoinformowanych spekulacji, że naruszenie to niewiele więcej niż ćwiczenie PR).

Powyższą czapkę ekranu wykonano w środę, 21 maja, w dniu, w którym nadeszły wieści o przecieku. Nie znaleziono ostrzeżeń ani porad!

Kilka innych rzeczy, które powinieneś rozważyć. W styczniu 2013 r. Na całym świecie było 112,3 mln aktywnych użytkowników; Podobno 145 milionów rekordów zostało skradzionych. Pozostawia to możliwość przejęcia około 30 milionów nieużywanych kont - więcej niż to wystarczy, aby zniszczyć wewnętrzne oceny eBay i system zaufania, gdyby hakerzy tak postanowili. Zaufanie jest kluczem do modelu biznesowego eBay, a bez niego dni można by policzyć.

Następnie pojawia się prośba o zmianę hasła. Na stronie pojawiły się już problemy z wydajnością po wiadomości o naruszeniu, gdy użytkownicy odwiedzali eBay, aby zacząć zmieniać hasła.

dlatego zalecamy zmianę hasła do konta eBay, ponieważ zostało zhakowane… ale nie mogę z powodu dużego ruchu. fajne.

- Angela (@CRiSPilyMEEE) 22 maja 2014 r

@eBay_UK resetowanie hasła nie działa nie możemy zmienić haseł na żadnym z naszych kont, wysyła link resetowania e-maila, ale wciąż zapętla

- Poziom 1 online (@ tier1online) 22 maja 2014 r

Dzieje się tak, jeśli użytkownicy mogą nawet znaleźć opcję zmiany hasła (wskazówka: kliknij Zapomniałeś hasła? przycisk, aby zaoszczędzić czas).

Pytanie o dane finansowe: czy dane Twojej karty są bezpieczne?

EBay nalega, aby żadne dane finansowe ani dane karty kredytowej nie zostały naruszone, tylko nazwy użytkowników, hasła i adresy e-mail.

Jest to próba kontroli szkód, aby zminimalizować oburzenie.

Powiedz, że chcesz uzyskać dostęp do danych karty eBay, co byś zrobił? Zaloguj się lub oczywiście za pomocą swojej nazwy użytkownika i hasła. Podczas gdy numer karty będzie w dużej mierze zaciemniony (z wyjątkiem ostatnich czterech cyfr), potencjalnie jest tu wystarczająco dużo informacji, aby dać hakerowi to, czego potrzebują, od daty wygaśnięcia karty do potwierdzenia typu karty, jak często jej używasz. Informacje te są z pewnością wystarczające, aby wybrać osobę jako cel, a jeśli są powiązane z innymi kontami, być może więcej.

Pamiętaj, że twoja tożsamość online jest w zasadzie zbiorem danych o twojej fizycznej tożsamości. Każdy element - imię, data urodzenia, adres - jest jak układanka. W miarę odnajdywania kolejnych elementów wyłania się większy obraz tego, kim jesteś.

Co powinieneś zrobić, aby chronić swoje dane?

eBay stwierdził, że wszystkie jego firmy są trzymane osobno. Oznacza to, że dane PayPal są całkowicie odizolowane od danych w serwisie eBay.

Ponieważ jednak firma nie była pewna, w jaki sposób doszło do naruszenia i którzy pracownicy zostali dotknięci, nie ma powodu, aby poważnie traktować ten komentarz..

W związku z tym zalecamy zmianę haseł w serwisie eBay i PayPal. Upewnij się, że są one różne i nie są takie same jak konta używane na innych kontach online. Ponadto zapoznaj się ze wskazówkami na eBayu i adresuj inne konta internetowe, które używały tego samego hasła. Nasze wskazówki dotyczące tworzenia bezpiecznego hasła 7 sposobów, aby tworzyć hasła, które są zarówno bezpieczne, jak i niezapomniane 7 sposobów, aby tworzyć hasła, które są zarówno bezpieczne, jak i zapamiętywane Posiadanie innego hasła do każdej usługi jest koniecznością w dzisiejszym świecie online, ale jest okropny słabość losowo generowanych haseł: nie można zapamiętać ich wszystkich. Ale jak możesz sobie przypomnieć… powinien ci pomóc. Możesz również przechowywać je w bezpiecznej usłudze lub aplikacji, takich jak LastPass.

W USA PayPal oferuje dwuskładnikowy system uwierzytelniania, w którym za pomocą małego podręcznego narzędzia można utworzyć kod. Choć wydaje się, że nie ma podobnego systemu na eBayu, w rzeczywistości możesz dostać jeden na stronę aukcyjną po zarejestrowaniu się w urządzeniu PayPal. Jak widać, wdrożenie i promocja tych narzędzi była słaba, ale uwierzytelnianie dwuskładnikowe jest koniecznością dla każdej usługi online, która przechowuje dane o tobie.

Pamiętaj, to są twoje dane, które eBay przyznaje do utraty. Twoje imię i nazwisko, adres, numer telefonu, urodziny… możesz zmienić hasło, ale nie możesz ich zmienić.

To naruszenie jest katastrofalne dla serwisu eBay

Jak wspomniano wcześniej, uważamy, że zmiana hasła i przyjęcie uwierzytelniania dwuskładnikowego (jeśli jest dostępne) w serwisie eBay i PayPal jest najlepszym rozwiązaniem.

Jeśli jednak weźmiemy pod uwagę brak informacji o naruszeniu, możliwość ataku wewnętrznego, brak danych wystawionych na sprzedaż, potencjał 30 milionów kont zombie niszczących ocenę zaufania sprzedawcy na eBayu i jego niezdolność do radzenia sobie z resetowaniem hasła , pozostaje pytanie, które należy zadać. Czy na pewno chcesz być członkiem witryny, która w ten sposób traktuje naruszenia danych użytkowników i naruszenia bezpieczeństwa?

Jeśli myślisz “ale eBay jest jedynym przyzwoitym serwisem aukcyjnym!” to jesteś w błędzie, ponieważ istnieje wiele alternatyw, które powinieneś sprawdzić Fed Up With eBay? Oto niektóre godne (i tańsze) alternatywy dla sprzedawców, którzy mają dość eBayu? Oto niektóre godne (i tańsze) alternatywy dla sprzedawców Kiedy chcesz sprzedać swoje nadmiarowe śmieci w Internecie, gdzie idziesz? Dla większości ludzi jedyną odpowiedzią jest eBay. W przypadku milionów codziennych użytkowników logiczne wydaje się… .

Zachęcamy jednak do poważnego przemyślenia tej kwestii. Może nie zapisać skradzionych danych, ale wystarczająca liczba osób głosujących stopami da innym firmom powód do odpowiedzialnego działania w takich sytuacjach w przyszłości.

Czy otrzymałeś e-mail z eBay? Czy zmieniłeś już hasło? Co sądzisz o tym naruszeniu??

Daj nam znać swoje przemyślenia w komentarzach.

Zdjęcie: wk1003mike przez Shutterstock.com




Jeszcze bez komentarzy

Jak napisać profil firmy i potrzebne szablony
Wydajność
Jak czyścić i deklutować tablice Trello 5 prostych wskazówek
Wydajność
7 sposobów, w jakie przeglądarka Vivaldi pomaga uczniom uzyskać lepsze oceny
Wydajność
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.