Forside Sikkerhed EBay-dataovertrædelsen, hvad du skal vide

EBay-dataovertrædelsen, hvad du skal vide

  • William Charles
  • 0
  • 3003
  • 135
Reklame

I det, der er et af de største brud på brugerdata endnu, har eBay afsløret, at i marts 2014 blev serverne kompromitteret. Bortset fra at bekræfte, at personalekonti blev co-valgt og rådgive eBay-kontoindehavere om at ændre deres adgangskoder, afslører det intet andet.

Så hvad skal du gøre? Ændrer du din adgangskode nok, eller skal du gå videre? Måske strækker dine bekymringer sig over andre eBay-ejede tjenester, især PayPal?

eBay forklarer hvad der skete

I et blogindlæg ledet “eBay Inc. til at bede eBay-brugere om at ændre adgangskoder” onsdag 21. majst (efter et tidligere tomt blogindlæg, der lækkede sikkerhedsovertrædelsen, der tillader flere nyhedssteder at få springet på eBay) annoncerede auktionsgiganten, at

“... det vil bede eBay-brugere om at ændre deres adgangskoder på grund af et cyberangreb, der kompromitterede en database, der indeholder krypterede adgangskoder og andre ikke-økonomiske data.”

Stillingen fortsætter med at forklare, hvordan virksomheden (mærkeligt skriftligt i den tredje person, der indikerer manglende accept) ikke har fundet noget bevis for, at økonomiske og kreditkortoplysninger er blevet kompromitteret efter angrebet, der fandt sted i løbet af “sidst i februar og begyndelsen af ​​marts”. Kompromitterede oplysninger inkluderet “eBay-kunders navn, krypteret adgangskode, e-mail-adresse, fysisk adresse, telefonnummer og fødselsdato.”

EBay insisterer på, at det tager sagen alvorligt og er i øjeblikket “I samarbejde med retshåndhævelse og førende sikkerhedseksperter undersøger virksomheden aggressivt sagen og anvender de bedste kriminaltekniske værktøjer og praksis for at beskytte kunder.”

Hvordan blev dine eBay-data kompromitteret?

Efter at have opdaget sikkerhedsovertrædelsen for omkring to uger siden, nævnte eBay “de kompromitterede medarbejderes loginoplysninger” som er skylden for indtrængen. Derefter en retsmedicinsk undersøgelse “identificerede den kompromitterede eBay-database” hvor personlige data - for hver enkelt eBay-bruger - gemmes.

Det sidste stykke kan du læse igen.

På dette tidspunkt er det uklart, hvordan eBay-medarbejderkonti blev kompromitteret. Et forslag er, at de kan være faldet for et phishing-angreb, hvor en falsk e-mail blev sendt, der bad dem om at logge ind og nulstille deres adgangskode på et overbevisende udseende websted. Et alternativ - og det er kun spekulation, da eBay er kommet frem med ringe detaljer om denne skammelige affære - er, at overtrædelsen blev muliggjort af et internt angreb. Kunne en medarbejder have gennemført dette indbrud?

Overvej også antallet af konti: personoplysninger om 145 millioner mennesker er tilsyneladende blevet stjålet. Hvis denne indtrængen var resultatet af, at medarbejderkonti blev kompromitteret, var der en enkelt person, der havde adgang til alle 145 millioner poster?

Tidslinjen falder i mellemtiden sammen med den Heartbleed storm Fare bekræftet: Heartbleed virkelig åbner op krypto nøgler til hackere Fare bekræftet: Heartbleed virkelig åbner op crypto nøgler til hackere Debatten er over, om den nye OpenSSL Heartbleed sårbarhed kan bruges til at få til at få private krypteringsnøgler fra sårbare servere og websteder. Cloudflare har bekræftet, at private krypteringsnøgler er i fare. . I april forsikrede eBay brugere:

1) Din eBay-konto er sikker

2) Dine eBay-kontooplysninger blev ikke eksponeret i fortiden og forbliver sikre

3) Du behøver ikke tage nogen yderligere handling for at beskytte dine oplysninger

4) Det er ikke nødvendigt at ændre din adgangskode

I mellemtiden rapporterede opstart-adgangskodeskiftetjenesten Passomatic “alle dets partnere har lavet rettelsen. Blandt dem er eBay.”

Kunne Heartbleed have været ruten ind på eBay? Eller mere pinligt, kunne fokus på OpenSSL-sårbarhed vise sig at have været en meget kostbar distraktion for online-auktionshuset?

Håndtering af sikkerhedsbrud

Et af de mest bekymrende aspekter ved denne sag er tidslinjen. Det forekommer bemærkelsesværdigt, at eBay ikke registrerede overtrædelsen før, noget som kan indikere en hackingoperation af særlig dygtighed (ligesom det kan betyde, at eBay's databasesikkerhed ikke er egnet til formålet).

Efter meddelelsen hævdede eBay det “brugere får besked via e-mail, stedskommunikation og andre marketingkanaler for at ændre deres adgangskode”. Indtil videre har der ikke været rapporter om, at der er modtaget e-mails, og kun sociale netværk, der udsender meddelelser.

Hvad du måske ikke ved om eBay, Inc. er, at det ikke kun ejer det populære online auktionswebsted www.ebay.com og dets internationale varianter, det ejer også PayPal.

De uapologetiske, begrænsede detaljer, der frigives af eBay, giver dem ingen favoriserer. Mens de hævder, at deres andre virksomheder ikke er påvirket af denne overtrædelse, er faktum, at medmindre eBay beviser, at de ved dette med sikkerhed, er der ingen måde, hvorpå vi kan stole på denne påstand.

At være realistisk er dette et sikkerhedsbrud for kataklysmiske forhold. Mængden og dybden af ​​data stjålet fra konti er hidtil uset.

For at gøre tingene værre, ankommer phishing-e-mails nu i indbakker rundt om i verden, da svindlere forsøger at indbetale på overtrædelsen (selvom et usædvanligt aspekt ved sagen er, at dataene endnu ikke er dukket op på den mørkere side af Internettet, hvilket fører til nogle uinformerede spekulationer om, at overtrædelsen er lidt mere end en PR-øvelse.)

Skærmhætten ovenfor blev taget onsdag den 21. maj, da dagen nyheden om lækagen brød. Ingen advarsler eller råd findes!

Nogle andre ting, du skal overveje. Fra januar 2013 var der 112,3 millioner aktive brugere over hele verden; Det siges, at 145 millioner poster er blevet stjålet. Dette efterlader potentialet for, at omkring 30 millioner ubrugte konti bliver kapret - mere end nok til at ødelægge eBay's interne ratings og tillidssystem, hvis hackerne så vælger. Tillid er nøglen til eBay's forretningsmodel, og uden den kunne dens dage blive nummereret.

Så er der anmodning om, at folk ændrer deres adgangskoder. Webstedet har allerede oplevet ydelsesproblemer efter nyheder om bruddet, da brugere strømmet til eBay for at begynde at ændre adgangskoder.

så vi rådes til at ændre vores ebay-adgangskode, fordi det er blevet hacket ... endnu kan jeg ikke på grund af høj trafik. fedt nok.

- Angela (@CRiSPilyMEEE) 22. maj 2014

@eBay_UK adgangskode nulstilling fungerer ikke, vi kan ikke ændre adgangskoder på nogen af ​​vores konti, sender linket til nulstilling af e-mail, men fortsætter med at køre

- Niveau 1 Online (@ tier1online) 22. maj 2014

Det er, hvis brugerne endda kan finde indstillingen til ændring af adgangskode (tip: klik på Glemt din adgangskode? knap for at spare tid).

Spørgsmålet om finansielle data: Er dine kortoplysninger sikre?

EBay insisterer på, at ingen økonomiske eller kreditkortdata er blevet kompromitteret, kun brugernavne, adgangskoder og e-mail-adresser.

Dette er imidlertid et forsøg på at kontrollere skaderne for at minimere forurening.

Sig, at du ville have adgang til dine eBay-kortoplysninger, hvad ville du gøre? Log ind eller kursus med dit brugernavn og din adgangskode. Mens kortnummeret i vid udstrækning vil blive skjult (gemme for de sidste fire cifre), er der potentielt nok information her til at give en hacker, hvad de har brug for, fra kortets udløbsdato til bekræftelse af din korttype, hvor ofte du har brugt det. Denne information er bestemt tilstrækkelig til at vælge en person som et mål, og hvis der henvises til andre konti, muligvis mere.

Husk, din online identitet er dybest set et datasæt med din fysiske identitet. Hvert element - navn, fødselsdato, adresse - er som et puslespil. Efterhånden som flere stykker findes, fremkommer et større billede af, hvem du er.

Hvad du skal gøre for at beskytte dine data?

eBay har oplyst, at dets forretninger alle holdes adskilt. Implikationen af ​​dette skulle være, at PayPal-data holdes fuldstændigt isoleret fra eBay-data.

Da virksomheden imidlertid har været uklar om, hvordan overtrædelsen opstod, og hvilke ansatte blev påvirket, er der ingen grund til at tage denne kommentar alvorligt.

Som sådan anbefaler vi, at du ændrer både dine eBay- og PayPal-adgangskoder. Sørg for, at disse er forskellige og ikke er de samme som dem, der bruges til andre online konti. Desuden skal du følge eBay's rådgivning og adressere andre onlinekonti, du har brugt den samme adgangskode. Vores tip til oprettelse af en sikker adgangskode 7 måder at oprette adgangskoder, der er både sikre og mindeværdige 7 måder at oprette adgangskoder, der begge er sikre og mindeværdige At have en anden adgangskode til hver tjeneste er et must i dagens online verden, men der er en frygtelig svaghed ved tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske ... skal hjælpe dig herude. Du kan også gemme disse i en sikker tjeneste eller app, f.eks. LastPass.

I USA tilbyder PayPal et tofaktors godkendelsessystem ved hjælp af et lille håndholdt værktøj til at oprette en kode. Selvom det ser ud til, at der ikke er noget lignende system på eBay, kan du faktisk få hænderne på et til auktionswebstedet, efter at du har tilmeldt dig PayPal-enheden. Implementeringen og promoveringen af ​​disse værktøjer har, som du kan se, været dårlig, men to-faktor-godkendelse er et must for enhver online tjeneste, der gemmer data om dig.

Husk, at dette er dine data, som eBay indrømmer at have mistet. Dit navn, adresse, telefonnummer, fødselsdag ... du kan ændre din adgangskode, men du kan ikke ændre dem.

Denne overtrædelse er katastrofal for eBay

Som nævnt tidligere mener vi, at det er den bedste fremgangsmåde at ændre dine adgangskoder og vedtage to-faktor-godkendelse (hvor det er tilgængeligt) til eBay og PayPal..

Hvis vi overvejer den manglende information om bruddet, muligheden for et internt angreb, manglen på data, der sælges til salg, potentialet for 30 millioner zombie-konti, der ødelægger eBay's sælgers tillidsklassificering og dens manglende evne til at klare nulstillinger af adgangskoder , der er stadig et spørgsmål, der skal stilles. Ønsker du virkelig at være medlem af et websted, der behandler brugerdata og sikkerhedsbrud på denne måde?

Hvis du tænker “men eBay er det eneste anstændige auktionssted!” så har du helt forkert, da der er masser af alternativer, som du bør tjekke Fed Up With eBay? Her er nogle værdige (og billigere) alternativer til sælgere, der er fede med eBay? Her er nogle værdige (og billigere) alternativer til sælgere Når du vil sælge dit overskydende junk online, hvor skal du hen? For de fleste er eBay det eneste svar. Med millioner af daglige brugere virker det kun logisk at bruge ... .

Vi vil dog opfordre dig til at overveje denne sag alvorligt. Det gemmer muligvis ikke dine stjålne data, men nok folk, der stemmer med deres fødder, giver andre virksomheder grund til at handle ansvarligt i disse situationer i fremtiden.

Har du modtaget en e-mail fra eBay? Har du allerede ændret din adgangskode? Hvordan har du det med denne overtrædelse?

Fortæl os dine tanker i kommentarerne.

Billedkredit: wk1003mike via Shutterstock.com




Endnu ingen kommentarer

5 Screen Capture Training-videotips ved hjælp af ActivePresenter
Kreativ
Den bedste gratis musikproduktionssoftware til begyndere
Kreativ
Sådan nulstilles Photoshop's udseende tilbage til standard
Kreativ
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.