Die eBay-Datenverletzung Was Sie wissen müssen
Bei einem der bislang größten Verstöße gegen Benutzerdaten hat eBay bekannt gegeben, dass seine Server im März 2014 manipuliert wurden. Abgesehen von der Bestätigung, dass die Personalkonten kooptiert wurden, und den eBay-Kontoinhabern empfohlen wird, ihre Kennwörter zu ändern, wird nichts anderes enthüllt.
Also, was solltest du tun? Ist es ausreichend, Ihr Passwort zu ändern, oder sollten Sie weitergehen? Möglicherweise beziehen sich Ihre Bedenken auf andere eBay-Dienste, insbesondere PayPal?
eBay erklärt, was passiert ist
In einem Blogbeitrag geleitet “eBay Inc. eBay-Benutzer auffordern, Kennwörter zu ändern” am Mittwoch, dem 21. Maist (Nach einem früheren leeren Blogeintrag, bei dem die Sicherheitslücke durchgesickert war und mehrere Nachrichtenagenturen den Sprung bei eBay ermöglichten), gab der Auktionsriese dies bekannt
“… EBay-Benutzer werden aufgefordert, ihre Kennwörter zu ändern, weil ein Cyberangriff eine Datenbank mit verschlüsselten Kennwörtern und anderen nicht finanziellen Daten gefährdet hat.”
In der Post wird erläutert, wie das Unternehmen (seltsam in der dritten Person geschrieben, was auf mangelnde Akzeptanz hindeutet) keine Beweise dafür gefunden hat, dass die Finanz- und Kreditkarteninformationen nach dem Angriff, der während des Angriffs stattfand, gefährdet wurden “Ende Februar und Anfang März”. Kompromittierte Informationen enthalten “Name, verschlüsseltes Passwort, E-Mail-Adresse, Postanschrift, Telefonnummer und Geburtsdatum von eBay-Kunden.”
EBay besteht darauf, dass es die Angelegenheit ernst nimmt und derzeit ist “In Zusammenarbeit mit Strafverfolgungsbehörden und führenden Sicherheitsexperten untersucht das Unternehmen die Angelegenheit aggressiv und wendet die besten forensischen Instrumente und Verfahren zum Schutz der Kunden an.”
Wie wurden Ihre eBay-Daten beeinträchtigt??
EBay hatte die Sicherheitslücke vor etwa zwei Wochen entdeckt und erwähnte “die angegriffenen Anmeldeinformationen der Mitarbeiter” welche sind für das Eindringen verantwortlich. Eine forensische Untersuchung “identifizierte die kompromittierte eBay-Datenbank” Dort werden persönliche Daten - für jeden einzelnen eBay-Benutzer - gespeichert.
Möglicherweise möchten Sie den letzten Absatz erneut lesen.
Derzeit ist unklar, wie die Konten der eBay-Mitarbeiter kompromittiert wurden. Ein Vorschlag ist, dass sie möglicherweise von einem Phishing-Angriff betroffen waren, in dem eine gefälschte E-Mail gesendet wurde, in der sie gebeten wurden, sich anzumelden und ihr Kennwort auf einer überzeugend aussehenden Website zurückzusetzen. Eine Alternative - und dies sind nur Spekulationen, da eBay mit wenig Detail über diese schändliche Angelegenheit herauskam - ist, dass der Verstoß durch einen internen Angriff ermöglicht wurde. Könnte ein Mitarbeiter diesen Einbruch durchgeführt haben??
Berücksichtigen Sie auch die Anzahl der Konten: Personenbezogene Daten von 145 Millionen Menschen wurden offenbar gestohlen. Wenn dieses Eindringen auf die Gefährdung von Mitarbeiterkonten zurückzuführen ist, gab es eine einzelne Person, die Zugriff auf alle 145 Millionen Datensätze hatte?
Die Timeline fällt unterdessen mit dem Heartbleed-Sturm zusammen. Danger Confirmed: Heartbleed öffnet wirklich verschlüsselte Schlüssel für Hacker Gefahr bestätigt: Heartbleed öffnet wirklich verschlüsselte Schlüssel für Hacker Die Debatte ist beendet, ob die neue OpenSSL-Heartbleed-Sicherheitsanfälligkeit genutzt werden könnte private Verschlüsselungsschlüssel von anfälligen Servern und Websites. Cloudflare hat bestätigt, dass private Verschlüsselungsschlüssel gefährdet sind. Weiterlesen . Im April beruhigte eBay die Benutzer:
1) Ihr eBay-Konto ist sicher
2) Ihre eBay-Kontodaten waren in der Vergangenheit nicht offengelegt und bleiben sicher
3) Sie müssen keine zusätzlichen Maßnahmen ergreifen, um Ihre Informationen zu schützen
4) Sie müssen Ihr Passwort nicht ändern
Inzwischen hat der Passwort-Änderungsdienst Passomatic dies gemeldet “Alle seine Partner haben das Problem gelöst. Unter ihnen sind eBay.”
Könnte Heartbleed der Weg zu eBay gewesen sein? Peinlicher kann es sein, dass sich der Fokus auf die OpenSSL-Schwachstelle als sehr kostspielige Ablenkung für das Online-Auktionshaus erwiesen hat?
Umgang mit der Sicherheitsverletzung
Einer der wichtigsten Aspekte in diesem Fall ist der Zeitplan. Es scheint bemerkenswert, dass eBay den Verstoß nicht früher erkannt hat, was auf einen Hacker-Vorgang mit besonderer Fertigkeit hindeuten könnte (dies könnte auch bedeuten, dass die Datenbanksicherheit von eBay nicht für den Zweck geeignet ist)..
Nach der Ankündigung behauptete eBay das “Benutzer werden per E-Mail, Website-Kommunikation und anderen Marketingkanälen benachrichtigt, um ihr Passwort zu ändern”. Bisher wurden jedoch keine Berichte über den Empfang von E-Mails und nur die Herausgabe von Benachrichtigungen durch soziale Netzwerke veröffentlicht.
Was Sie möglicherweise nicht über eBay Inc. wissen, ist, dass es nicht nur die beliebte Online-Auktionsseite www.ebay.com und seine internationalen Varianten besitzt, sondern auch PayPal.
Die nicht entschuldigenden, eingeschränkten Details von eBay tun dies keinen Gefallen. Sie behaupten zwar, dass ihre anderen Unternehmen von diesem Verstoß nicht betroffen sind. Wenn eBay jedoch nicht beweist, dass sie dies sicher wissen, können wir dieser Behauptung nicht vertrauen.
Realistisch gesehen handelt es sich hierbei um eine Sicherheitsverletzung katastrophalen Ausmaßes. Die Menge und Tiefe der Daten, die aus Konten gestohlen wurden, ist beispiellos.
Zu allem Überfluss kommen Phishing-E-Mails jetzt in Posteingängen auf der ganzen Welt an, da Betrüger versuchen, sich den Verstoß auszahlen zu lassen (auch wenn der Fall ungewöhnlich ist, dass die Daten noch nicht auf der dunklen Seite des Internets aufgetaucht sind.) was zu einigen uninformierten Spekulationen führt, dass der Verstoß kaum mehr als eine PR-Übung ist.)
Die Bildschirmkappe oben wurde am Mittwoch, dem 21. Mai, aufgenommen, als die Tagesnachrichten über das Leck brachen. Keine Warnungen oder Ratschläge zu finden!
Einige andere Dinge, die Sie beachten sollten. Im Januar 2013 gab es weltweit 112,3 Millionen aktive Benutzer. 145 Millionen Aufzeichnungen sollen gestohlen worden sein. Damit können rund 30 Millionen ungenutzte Konten gekapert werden - mehr als genug, um das interne Rating- und Vertrauenssystem von eBay zu zerstören, falls die Hacker dies wünschen. Vertrauen ist der Schlüssel zum Geschäftsmodell von eBay, und ohne es könnten die Tage gezählt werden.
Dann gibt es die Aufforderung an Personen, ihre Passwörter zu ändern. Die Website hatte bereits Probleme mit der Leistung, nachdem Nachrichten über den Verstoß gemeldet wurden, als die Nutzer zu eBay kamen, um die Passwörter zu ändern.
Wir empfehlen daher, unser ebay-Passwort zu ändern, da es gehackt wurde. Trotzdem kann ich es wegen des hohen Datenverkehrs nicht. cool.
- Angela (@CRiSPilyMEEE) 22. Mai 2014
@eBay_UK Passwort zurücksetzen funktioniert nicht Wir können die Passwörter auf keinem unserer Konten ändern, senden den Link zum Zurücksetzen der E-Mails, aber bleiben in einer Schleife
- Tier 1 Online (@ tier1online) 22. Mai 2014
In diesem Fall können Benutzer sogar die Option zum Ändern des Kennworts finden (Hinweis: Klicken Sie auf Haben Sie Ihr Passwort vergessen? Taste, um Zeit zu sparen).
Die Finanzdatenfrage: Sind Ihre Kartendetails sicher?
EBay besteht darauf, dass keine finanziellen oder Kreditkartendaten gefährdet sind, sondern nur Benutzernamen, Passwörter und E-Mail-Adressen.
Dies ist ein Versuch der Schadenskontrolle, um die Empörung zu minimieren.
Angenommen, Sie möchten auf Ihre eBay-Kartendaten zugreifen. Was würden Sie tun? Melden Sie sich an oder natürlich mit Ihrem Benutzernamen und Passwort. Während die Kartennummer weitgehend verdeckt ist (abgesehen von den letzten vier Ziffern), gibt es hier möglicherweise genügend Informationen, um einem Hacker das zu geben, was er benötigt, vom Ablaufdatum der Karte bis zur Bestätigung Ihres Kartentyps und wie oft Sie sie verwendet haben. Diese Informationen sind sicherlich ausreichend, um eine Person als Ziel auszuwählen und bei Querverweise mit anderen Konten möglicherweise mehr.
Denken Sie daran, dass Ihre Online-Identität im Wesentlichen ein Datensatz Ihrer physischen Identität ist. Jedes Element - Name, Geburtsdatum, Adresse - ist wie eine Stichsäge. Wenn mehr Stücke gefunden werden, entsteht ein größeres Bild von Ihnen.
Was Sie zum Schutz Ihrer Daten tun sollten?
eBay hat erklärt, dass alle Geschäfte getrennt sind. Dies hat zur Folge, dass PayPal-Daten vollständig von eBay-Daten isoliert werden.
Da das Unternehmen jedoch nicht genau wusste, wie der Verstoß aufgetreten ist und welche Mitarbeiter betroffen waren, gibt es keinen Grund, diesen Kommentar ernst zu nehmen.
Daher empfehlen wir Ihnen, sowohl Ihr eBay- als auch Ihr PayPal-Kennwort zu ändern. Stellen Sie sicher, dass sich diese unterscheiden und nicht mit denen für andere Online-Konten identisch sind. Beachten Sie außerdem die Ratschläge von eBay und wenden Sie sich an andere Online-Konten, bei denen Sie dasselbe Passwort verwendet haben. Unsere Tipps zum Erstellen eines sicheren Kennworts 7 Möglichkeiten, sichere und denkwürdige Kennwörter zu erstellen 7 Möglichkeiten, sichere und denkwürdige Kennwörter zu erstellen Ein anderes Kennwort für jeden Dienst ist in der heutigen Online-Welt ein Muss, aber es ist schrecklich Schwäche zu zufällig generierten Passwörtern: Es ist unmöglich, sich alle zu merken. Aber wie können Sie sich vielleicht daran erinnern, dass… Read More hier helfen sollte. Sie können diese auch in einem sicheren Dienst oder einer App wie LastPass speichern.
In den USA bietet PayPal ein Zwei-Faktor-Authentifizierungssystem, das ein kleines Handheld-Tool zum Erstellen eines Codes verwendet. Es scheint, dass es kein ähnliches System für eBay gibt, Sie können jedoch tatsächlich ein solches für die Auktionsseite in die Hände bekommen, nachdem Sie sich für das PayPal-Gerät angemeldet haben. Die Implementierung und Verbreitung dieser Tools war schlecht, wie Sie sehen können, aber die Zwei-Faktor-Authentifizierung ist ein Muss für jeden Onlinedienst, der Daten über Sie speichert.
Denken Sie daran, dass dies Ihre Daten sind, die eBay nach eigenen Angaben verloren hat. Ihr Name, Adresse, Telefonnummer, Geburtstag… Sie können Ihr Passwort ändern, aber Sie können es nicht ändern.
Diese Verletzung ist für eBay verheerend
Wie bereits erwähnt, halten wir es für die beste Vorgehensweise, wenn Sie Ihre Kennwörter ändern und die Zwei-Faktor-Authentifizierung (sofern verfügbar) für eBay und PayPal anwenden.
Wenn wir jedoch den Mangel an Informationen über den Verstoß, die Möglichkeit eines internen Angriffs, das Fehlen von zum Verkauf angebotenen Daten, das Potenzial von 30 Millionen Zombie-Konten, die die Vertrauensbewertung von eBay zerstören, und die Unfähigkeit, das Zurücksetzen von Kennwörtern zu umgehen, in Betracht ziehen Es bleibt eine Frage, die gestellt werden muss. Möchten Sie wirklich Mitglied einer Website sein, die Benutzerdaten und Sicherheitsverletzungen auf diese Weise behandelt?
Wenn du denkst “aber eBay ist die einzige anständige Auktionsseite!” Dann liegen Sie völlig falsch, da es viele Alternativen gibt, die Sie mit Fed Up With eBay überprüfen sollten. Sind hier einige würdige (und billigere) Alternativen für mit eBay satt gewordene Verkäufer? Hier sind einige günstige (und billigere) Alternativen für Verkäufer Wenn Sie Ihren überschüssigen Müll online verkaufen möchten, wohin gehen Sie? Für die meisten Leute ist eBay die einzige Antwort. Bei Millionen täglicher Benutzer scheint es nur logisch zu sein, die… Read More .
Wir möchten Sie jedoch dazu ermutigen, diese Angelegenheit ernsthaft zu überdenken. Ihre gestohlenen Daten werden möglicherweise nicht gespeichert, aber genug Leute, die mit den Füßen wählen, geben anderen Unternehmen Anlass, in diesen Situationen in Zukunft verantwortungsvoll zu handeln.
Haben Sie eine E-Mail von eBay erhalten? Haben Sie Ihr Passwort bereits geändert? Wie fühlen Sie sich zu diesem Verstoß??
Teilen Sie uns Ihre Meinung in den Kommentaren mit.
Bildnachweis: wk1003mike über Shutterstock.com
Erfahren Sie mehr über: eBay, Online Security, PayPal.