Sicurezza

La violazione dei dati di eBay Che cosa è necessario sapere

La violazione dei dati di eBay Che cosa è necessario sapere / Sicurezza

In quella che è una delle più grandi violazioni dei dati degli utenti, eBay ha rivelato che a marzo 2014 i suoi server sono stati compromessi. Oltre a confermare che i conti del personale sono stati cooptati e consigliare ai titolari di account eBay di cambiare le loro password, non sta rivelando nient'altro.

Quindi, cosa dovresti fare? Sta cambiando abbastanza la tua password, o dovresti andare oltre? Forse le tue preoccupazioni si estendono ad altri servizi di proprietà di eBay, in particolare PayPal?

eBay spiega cosa è successo

In un post sul blog diretto “eBay Inc. per chiedere agli utenti di eBay di modificare le password” mercoledì 21 maggiost (seguendo un precedente post sul blog vuoto che ha fatto trapelare la falla di sicurezza, permettendo a diverse agenzie di stampa di fare il salto su eBay) il gigante dell'asta ha annunciato che

“... chiederà agli utenti di eBay di cambiare le loro password a causa di un attacco informatico che ha compromesso un database contenente password crittografate e altri dati non finanziari.”

Il post prosegue spiegando come la compagnia (stranamente scrivendo in terza persona, indicando una mancanza di accettazione) non abbia trovato alcuna prova che le informazioni finanziarie e della carta di credito siano state compromesse in seguito all'attacco, avvenuto durante “fine febbraio e inizio marzo”. Informazioni compromesse incluse “Nome dei clienti eBay, password crittografata, indirizzo email, indirizzo fisico, numero di telefono e data di nascita.”

EBay insiste sul fatto che sta prendendo sul serio la questione ed è attualmente “Lavorando con le forze dell'ordine e con i principali esperti di sicurezza, la società sta indagando in modo aggressivo sulla questione e applicando i migliori strumenti e pratiche forensi per proteggere i clienti.”

Come sono stati compromessi i dati di eBay?

Avendo rilevato la violazione della sicurezza circa due settimane fa, eBay ha fatto menzione di “le credenziali di accesso dei dipendenti compromesse” che sono da biasimare per l'intrusione. Un'indagine forense quindi “identificato il database eBay compromesso” dove vengono memorizzati i dati personali, per ogni singolo utente di eBay.

Potresti voler rileggere quell'ultimo paragrafo.

A questo punto, non è chiaro esattamente come siano stati compromessi gli account dei dipendenti eBay. Un suggerimento è che potrebbero essere caduti in fallo di un attacco di phishing, in cui è stata inviata un'e-mail falsa chiedendo loro di accedere e reimpostare la password su un sito Web dall'aspetto convincente. Un'alternativa - e queste sono solo speculazioni su come eBay sia stata presentata con pochi dettagli su questo affare vergognoso - è che la violazione è stata resa possibile da un attacco interno. Potrebbe un dipendente aver condotto questa interruzione?

Inoltre, considera il numero di account: dati personali di 145 milioni di persone sono stati apparentemente rubati. Se questa intrusione era il risultato della compromissione degli account dei dipendenti, c'era una sola persona che aveva accesso a tutti i 145 milioni di record?

La timeline, nel frattempo, coincide con la tempesta Heartbleed Danger Confirmed: Heartbleed apre davvero Crypto Keys per hacker Confermato il pericolo: Heartbleed apre davvero Crypto Keys per gli hacker La discussione è finita se la nuova vulnerabilità OpenSSL Heartbleed possa essere utilizzata per ottenere chiavi di crittografia private da server e siti Web vulnerabili. Cloudflare ha confermato che le chiavi di crittografia private sono a rischio. Leggi di più . In aprile eBay ha rassicurato gli utenti:

1) Il tuo account eBay è sicuro

2) I dettagli del tuo account eBay non sono stati esposti in passato e rimangono sicuri

3) Non è necessario intraprendere alcuna azione aggiuntiva per salvaguardare le tue informazioni

4) Non è necessario cambiare la password

Nel frattempo, il servizio di cambio password di avvio, Passomatic, lo ha segnalato “tutti i suoi partner hanno fatto la correzione. Tra questi ci sono eBay.”

Heartbleed potrebbe essere stato il percorso verso eBay? O più imbarazzante, il focus sulla vulnerabilità di OpenSSL potrebbe essere stato una distrazione molto costosa per la casa d'aste online?

Trattare con la violazione della sicurezza

Uno degli aspetti più preoccupanti di questo caso è la cronologia. Sembra incredibile che eBay non abbia rilevato prima la violazione, qualcosa che potrebbe indicare un'operazione di hacking di particolare abilità (allo stesso modo, potrebbe significare che la sicurezza del database di eBay non è adatta allo scopo).

Dopo l'annuncio, eBay ha affermato che “gli utenti verranno avvisati tramite e-mail, comunicazioni sul sito e altri canali di marketing per modificare la propria password”. Tuttavia finora non ci sono state segnalazioni di e-mail ricevute, e solo i social network che emettono avvisi.

Quello che potresti non sapere su eBay, Inc. è che non solo possiede il popolare sito di aste online www.ebay.com e le sue varianti internazionali, ma possiede anche PayPal.

I rilasci imprevisti e limitati dei dettagli di eBay non li rendono favorevoli. Mentre sostengono che le loro altre attività commerciali non sono interessate da questa violazione, il fatto è che, a meno che eBay non dimostri di saperlo con certezza, non c'è modo di fidarci di questa affermazione.

Essendo realistici, questa è una violazione della sicurezza di proporzioni catastrofiche. Il volume e la profondità dei dati rubati dagli account non hanno precedenti.

A peggiorare le cose, le e-mail di phishing ora arrivano nelle caselle di posta in tutto il mondo mentre i truffatori cercano di incassare la violazione (anche se un aspetto insolito del caso è che i dati non si sono ancora rivelati sul lato oscuro di Internet, portando ad alcune speculazioni non informate che la violazione è poco più di un esercizio di pubbliche relazioni).

La schermata precedente è stata scattata mercoledì 21 maggio, il giorno in cui si è verificata la perdita di notizie. Nessun avvertimento o consiglio da trovare!

Alcune altre cose che dovresti considerare. A partire da gennaio 2013 c'erano 112,3 milioni di utenti attivi in ​​tutto il mondo; Si dice che siano stati rubati 145 milioni di documenti. Ciò lascia il potenziale per il dirottamento di circa 30 milioni di account inutilizzati, più che sufficienti per distruggere le classificazioni interne di eBay e il sistema di fiducia che gli hacker dovrebbero scegliere. La fiducia è la chiave del modello di business di eBay, e senza di essa i suoi giorni potrebbero essere numerati.

Poi c'è la richiesta per le persone di cambiare le loro password. Il sito ha già riscontrato problemi di prestazioni in seguito alla notizia della violazione mentre gli utenti si affollavano su eBay per iniziare a cambiare le password.

quindi ci viene consigliato di cambiare la nostra password ebay perché è stata violata ... eppure non posso a causa del traffico elevato. freddo.

- Angela (@CRiSPilyMEEE), 22 maggio 2014

@eBay_UK reimpostazione della password non funzionante non possiamo modificare le password su nessuno dei nostri account, invia il link di reset della posta ma mantiene il loop

- Livello 1 online (@ tier1online), 22 maggio 2014

Questo è se gli utenti possono anche trovare l'opzione di modifica della password (suggerimento: fare clic su Hai dimenticato la password? pulsante per risparmiare tempo).

La domanda di dati finanziari: i dettagli della tua carta sono sicuri?

EBay insiste che nessun dato finanziario o di carta di credito è stato compromesso, solo nomi utente, password e indirizzi email.

Questo è un tentativo di controllo dei danni, tuttavia, per ridurre al minimo l'indignazione.

Supponiamo che tu voglia accedere ai dettagli della tua carta eBay, cosa faresti? Accedi, o corso, con il tuo nome utente e password. Mentre il numero della carta sarà in gran parte oscurato (salvo per le ultime quattro cifre) ci sono potenzialmente abbastanza informazioni qui per dare a un hacker ciò di cui hanno bisogno, dalla data di scadenza della carta alla conferma del tipo di carta, quanto spesso lo hai usato. Questa informazione è certamente sufficiente per scegliere un individuo come target e se vi sono riferimenti incrociati con altri account, possibilmente di più.

Ricorda, la tua identità online è fondamentalmente un set di dati della tua identità fisica. Ogni elemento - nome, data di nascita, indirizzo - è come un puzzle. Man mano che vengono trovati più pezzi, un'immagine più ampia di chi sei emerge.

Cosa dovresti fare per proteggere i tuoi dati?

eBay ha dichiarato che le sue attività sono tenute separate. L'implicazione di questo dovrebbe essere che i dati di PayPal sono tenuti completamente isolati dai dati di eBay.

Tuttavia, poiché la società non è chiara su come si è verificata la violazione e quali dipendenti sono stati colpiti, non c'è motivo di prendere sul serio questo commento.

Pertanto, ti consigliamo di modificare entrambe le tue password eBay e PayPal. Accertati che siano diversi e che non siano uguali a quelli usati per altri account online. Inoltre, fai attenzione ai consigli di eBay e contatta altri account online che hai utilizzato con la stessa password. I nostri consigli su come creare una password sicura 7 modi per creare password sicure e memorabili 7 modi per creare password sicure e memorabili Avere una password diversa per ogni servizio è un must nel mondo online di oggi, ma c'è un terribile debolezza delle password generate casualmente: è impossibile ricordarle tutte. Ma come puoi ricordare ... Leggi di più dovrebbe aiutarti qui. Potresti anche memorizzarli in un servizio sicuro o in un'app come LastPass.

Negli Stati Uniti, PayPal offre un sistema di autenticazione a due fattori utilizzando un piccolo strumento portatile per creare un codice. Anche se sembra che non ci sia un sistema simile per eBay, in realtà puoi metterti le mani su uno per il sito di aste dopo esserti iscritto al dispositivo PayPal. L'implementazione e la promozione di questi strumenti è stata scarsa, come puoi vedere, ma l'autenticazione a due fattori è un must per qualsiasi servizio online che memorizza i dati su di te.

Ricorda, questi sono i tuoi dati che eBay sta ammettendo di aver perso. Il tuo nome, indirizzo, numero di telefono, data di nascita ... puoi cambiare la tua password, ma non puoi cambiarli.

Questa violazione è disastrosa per eBay

Come affermato in precedenza, riteniamo che cambiare la password e adottare l'autenticazione a due fattori (se disponibile) per eBay e PayPal sia la migliore linea d'azione.

Tuttavia, se consideriamo la mancanza di informazioni sulla violazione, la possibilità di un attacco interno, la mancanza di dati messi in vendita, il potenziale di 30 milioni di account zombie che distruggono il rating di fiducia del venditore di eBay e la sua incapacità di gestire le reimpostazioni della password , rimane una domanda che deve essere posta. Vuoi davvero essere un membro di un sito web che tratta i dati degli utenti e le violazioni della sicurezza in questo modo?

Se stai pensando “ma eBay è l'unico sito di aste decente!” allora ti sbagli, dato che ci sono molte alternative da controllare Fed Up With eBay? Qui ci sono alcune alternative degne (e più economiche) per i venditori stufi di eBay? Ecco alcune alternative degne (e più economiche) per i venditori Quando vuoi vendere la tua spazzatura in eccesso online, dove vai? Per la maggior parte delle persone, l'unica risposta è eBay. Con milioni di utenti giornalieri, sembra logico utilizzare il ... Per saperne di più .

Tuttavia, ti invitiamo a riflettere seriamente su questo argomento. Potrebbe non salvare i tuoi dati rubati, ma un numero sufficiente di persone che votano con i piedi darà ad altre società la causa di agire responsabilmente in queste situazioni in futuro.

Hai ricevuto un'email da eBay? Hai già cambiato la password? Come ti senti su questa violazione?

Fateci sapere che ne pensate nei commenti.

Credito immagine: wk1003mike tramite Shutterstock.com

Scopri di più su: eBay, Sicurezza online, PayPal.