Startseite Bezpečnostní Data eBay porušují to, co potřebujete vědět

Data eBay porušují to, co potřebujete vědět

  • Edmund Richardson
  • 0
  • 2609
  • 554
reklama

V rámci jednoho z největších porušení uživatelských dat eBay odhalil, že v březnu 2014 byly jeho servery ohroženy. Kromě potvrzení, že účty zaměstnanců byly kooptovány a informování majitelů účtů eBay o změně hesla, neodhaluje nic jiného.

Co byste tedy měli dělat? Změníte heslo dostatečně, nebo byste měli jít dále? Možná se vaše obavy týkají i jiných služeb ve vlastnictví eBay, zejména PayPal?

eBay vysvětluje, co se stalo

V blogu zamířil “eBay Inc. Požádat uživatele eBay o změnu hesel” ve středu 21. květnaSvatý (po dřívějším prázdném blogovém příspěvku, který unikl narušení bezpečnosti a umožnil několika e-mailům dostat se na eBay), aukční gigant oznámil, že

“… Požádá uživatele eBay o změnu hesla kvůli kybernetickému útoku, který narušil databázi obsahující šifrovaná hesla a jiná nefinanční data.”

Příspěvek dále vysvětluje, jak společnost (neobvykle psaná třetí osoba, označující nedostatečnou akceptaci) nenalezla žádné důkazy o tom, že po útoku, ke kterému došlo během útoku, došlo k ohrožení finančních a kreditních údajů. “koncem února a začátkem března”. Včetně kompromisních informací “Jméno zákazníka eBay, šifrované heslo, e-mailová adresa, fyzická adresa, telefonní číslo a datum narození.”

EBay trvá na tom, že to bere vážně a je v současné době “Ve spolupráci s vynucovacími právníky a předními bezpečnostními experty společnost agresivně vyšetřuje tuto záležitost a používá nejlepší forenzní nástroje a postupy k ochraně zákazníků.”

Jak byla vaše data eBay ohrožena?

Poté, co eBay zjistil narušení bezpečnosti zhruba před dvěma týdny, uvedl “ohrožené přihlašovací údaje pro zaměstnance” které mají za vinu vinu. Pak forenzní vyšetřování “identifikoval ohroženou databázi eBay” kde jsou uloženy osobní údaje - pro každého uživatele eBay.

Možná budete chtít znovu přečíst tento poslední odstavec.

V tomto okamžiku není jasné, jak byly účty zaměstnanců eBay ohroženy. Jedním z návrhů je, že se mohli dopustit phishingového útoku, kdy jim byl zaslán falešný e-mail s žádostí o přihlášení a resetování hesla na přesvědčivě vypadající webové stránce. Alternativou - a to jsou pouze spekulace, protože eBay přichází s malým podrobnostem o této hanebné záležitosti - je, že porušení bylo možné interním útokem. Mohl zaměstnanec provést toto přerušení?

Zvažte také počet účtů: osobní údaje 145 milionů lidí byly zřejmě ukradeny. Pokud by toto narušení bylo výsledkem kompromitování účtů zaměstnanců, byla tam jediná osoba, která měla přístup ke všem 145 milionům záznamů?

Časová osa se mezitím shoduje s bouří Heartbleed Potvrzeno nebezpečí: Heartbleed opravdu otevírá krypto klíče hackerům Potvrzuje nebezpečí: Heartbleed opravdu otevírá krypto klíče hackerům Debata skončila o tom, zda lze novou zranitelnost OpenSSL Heartbleed využít k získání soukromé šifrovací klíče od zranitelných serverů a webových stránek. Cloudflare potvrdil, že soukromé šifrovací klíče jsou ohroženy. . V dubnu eBay ujistil uživatele:

1) Váš eBay účet je zabezpečený

2) Údaje o vašem účtu eBay nebyly v minulosti odhaleny a zůstávají v bezpečí

3) Pro ochranu svých informací nemusíte podnikat žádné další kroky

4) Není třeba měnit heslo

Mezitím to služba pro změnu hesla pro spuštění Passomatic oznámila “opravili všichni jeho partneři. Mezi ně patří eBay.”

Mohla být Heartbleed cestou do eBay? Nebo více trapně, mohlo by se zaměření na zranitelnost OpenSSL ukázat jako velmi nákladné rozptýlení pro online aukční dům?

Řešení bezpečnostních porušení

Jedním z nejdůležitějších aspektů tohoto případu je časová osa. Zdá se pozoruhodné, že eBay narušení nezjistil dříve, což může znamenat hackerskou operaci zvláštní dovednosti (stejně tak to může znamenat, že zabezpečení databáze eBay není vhodné pro daný účel).

Po oznámení to eBay prohlásil “uživatelé budou upozorněni e-mailem, webovou komunikací a jinými marketingovými kanály na změnu hesla”. Dosud však nebyly hlášeny žádné zprávy o přijímání e-mailů a pouze sociální sítě vydávající oznámení.

Možná o eBay, Inc. nevíte, že vlastní nejen populární aukční web online www.ebay.com a jeho mezinárodní varianty, ale také PayPal..

Unapologetic, omezené detaily vydání eBay jim nedá laskavost. Přestože tvrdí, že toto porušení se netýká jejich ostatních podniků, faktem je, že pokud eBay neprokáže, že to vědí jistě, neexistuje žádný způsob, jak tomuto tvrzení důvěřovat.

Jelikož je realistický, jedná se o porušení bezpečnosti kataklyzmatických rozměrů. Objem a hloubka ukradených dat z účtů je bezprecedentní.

A co je ještě horší, phishingové e-maily nyní přicházejí do doručených po celém světě, protože podvodníci se pokoušejí vydělat peníze na porušení (i když neobvyklým aspektem tohoto případu je to, že data se dosud neobjevila ani na temnější straně internetu, což vede k nějakým neinformovaným spekulacím, že porušení je o něco více než cvičení PR.)

Snímek obrazovky nahoře byl pořízen ve středu 21. května, kdy se objevila denní zpráva o úniku. Nebyla nalezena žádná varování ani rady!

Některé další věci, které byste měli zvážit. Od ledna 2013 bylo na celém světě 112,3 milionu aktivních uživatelů; Bylo odcizeno 145 milionů záznamů. To ponechává potenciál únosům přibližně 30 milionů nevyužitých účtů - více než dost, aby zničily interní ratingy a systém důvěry eBay, pokud by si to hackeři vybrali. Důvěra je klíčem k obchodnímu modelu společnosti eBay a bez ní by bylo možné počítat její dny.

Pak je zde požadavek, aby lidé změnili svá hesla. Na stránkách již došlo k problémům s výkonem po zprávách o narušení, protože uživatelé se hrnou na eBay, aby začali měnit hesla.

takže vám doporučujeme změnit heslo eBay, protože bylo hacknuto ... ale přesto nemůžu kvůli vysokému provozu. chladný.

- Angela (@CRiSPilyMEEE) 22. května 2014

@eBay_UK reset hesla nefunguje Nemůžeme změnit hesla na žádném z našich účtů, odešle odkaz pro resetování e-mailu, ale stále opakuje

- Úroveň 1 online (@ tier1online) 22. května 2014

To je, pokud uživatelé mohou dokonce najít možnost změnit heslo (nápověda: klikněte na Zapomněli jste heslo? tlačítko pro úsporu času).

Otázka finančních údajů: Jsou údaje o vaší kartě bezpečné?

EBay trvá na tom, že nebyla ohrožena žádná data o finančních nebo kreditních kartách, pouze uživatelská jména, hesla a e-mailové adresy.

Jedná se však o pokus o kontrolu poškození, aby se minimalizovalo pobouření.

Řekněme, že jste chtěli získat přístup k údajům o vaší eBay kartě, co byste udělali? Přihlaste se nebo samozřejmě pomocí svého uživatelského jména a hesla. Zatímco číslo karty bude z velké části zakryto (s výjimkou posledních čtyř číslic), je zde potenciálně dostatek informací, které hackerovi poskytnou to, co potřebují, od data vypršení platnosti karty až po potvrzení typu karty, jak často jste ji používali. Tyto informace jsou jistě dostačující k tomu, aby si jednotlivce vybral jako cíl, a pokud jsou propojeny s jinými účty, možná více.

Pamatujte si, že vaše online identita je v podstatě datovým souborem vaší fyzické identity. Každý prvek - jméno, datum narození, adresa - je jako skládačka. Jak se najde více kusů, objeví se větší obrázek o tom, kdo jste.

Co byste měli udělat pro ochranu svých dat?

Společnost eBay uvedla, že její obchodní činnost je oddělena. Důsledkem by mělo být, že data PayPal jsou zcela izolována od dat eBay.

Vzhledem k tomu, že společnost si není jistá, jak k porušení došlo a kteří zaměstnanci byli ovlivněni, není důvod tuto poznámku brát vážně.

Doporučujeme proto změnit hesla pro eBay i PayPal. Zajistěte, aby se lišily a nebyly shodné s těmi, které se používají pro jiné online účty. Kromě toho dbejte na radu eBay a oslovte další online účty, které jste použili se stejným heslem. Naše tipy na vytvoření bezpečného hesla 7 způsobů, jak vytvořit hesla, která jsou bezpečná a zapamatovatelná 7 způsobů, jak vytvořit hesla, která jsou bezpečná a zapamatovatelná Mít jiné heslo pro každou službu je v dnešním online světě nezbytností, ale je tu hrozný slabost náhodně generovaných hesel: je nemožné si je všechny pamatovat. Ale jak si možná pamatujete ... by vám měl pomoci tady. Můžete je také uložit v zabezpečené službě nebo aplikaci, jako je LastPass.

V USA nabízí PayPal dvoufaktorový autentizační systém pomocí malého kapesního nástroje k vytvoření kódu. I když by se zdálo, že pro eBay neexistuje žádný podobný systém, ve skutečnosti si po registraci na zařízení PayPal můžete vlastně dostat ruku na jeden pro aukční web. Jak vidíte, implementace a propagace těchto nástrojů byla nízká, ale pro každou online službu, která ukládá veškerá data o vás, je nutné dvoufaktorové ověření..

Pamatujte, že toto jsou vaše data, která eBay přiznává, že ztratila. Vaše jméno, adresa, telefonní číslo, narozeniny ... můžete změnit své heslo, ale nemůžete je změnit.

Toto porušení je katastrofální pro eBay

Jak jsme již uvedli, věříme, že změna hesel a přijetí dvoufaktorové autentizace (pokud jsou k dispozici) pro eBay a PayPal je nejlepší postup.

Pokud však vezmeme v úvahu nedostatek informací o narušení, možnost interního útoku, nedostatek dat určených k prodeji, potenciál 30 milionů zombie účtů ničit důvěryhodnost prodejce eBay a jeho neschopnost vyrovnat se s obnovením hesla , zbývá si položit otázku. Opravdu chcete být členem webu, který tímto způsobem zachází s uživatelskými daty a narušení bezpečnosti?

Pokud uvažujete “ale eBay je jediné slušné aukční místo!” pak se mýlíte, protože existuje spousta alternativ, které byste si měli vyzkoušet Fed Up With eBay? Zde jsou některé hodné (a levnější) alternativy pro prodejce Fed s eBay? Zde jsou některé vhodné (a levnější) alternativy pro prodejce Pokud chcete prodat své nevyžádané zboží online, kam jdete? Pro většinu lidí je jedinou odpovědí eBay. S miliony uživatelů denně se zdá být logické používat… .

Doporučujeme vám však, abyste si tuto věc vážně rozmysleli. Vaše ukradená data možná nebudou uložena, ale dostatek lidí hlasujících nohama dá jiným společnostem v budoucnu v těchto situacích zodpovědně jednat.

Obdrželi jste e-mail od eBay? Už jste změnili heslo? Jak se cítíte o tomto porušení??

Dejte nám vědět v komentářích.

Obrázek Kredit: wk1003mike přes Shutterstock.com




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Jak připojit klávesnici USB k telefonu Android
Android
Reproduktory Android Android nefungují? Zde je 7 oprav, které můžete vyzkoušet
Android
Váš telefon s Androidem se nenabíjí? Zde je 7 oprav, které můžete vyzkoušet
Android
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.