In quella che è una delle più grandi violazioni dei dati degli utenti, eBay ha rivelato che a marzo 2014 i suoi server sono stati compromessi. Oltre a confermare che i conti del personale sono stati cooptati e consigliare ai titolari di account eBay di cambiare le loro password, non sta rivelando nient'altro.
Quindi, cosa dovresti fare? Sta cambiando abbastanza la tua password, o dovresti andare oltre? Forse le tue preoccupazioni si estendono ad altri servizi di proprietà di eBay, in particolare PayPal?
eBay spiega cosa è successo
In un post sul blog intitolato "eBay Inc. chiederà agli utenti di eBay di cambiare le password" mercoledì 21 maggio (in seguito a un precedente post sul blog vuoto che ha fatto trapelare la violazione della sicurezza, consentendo a diversi punti vendita di fare il salto su eBay) annunciato dal gigante dell'asta quella
"... chiederà agli utenti di eBay di cambiare le loro password a causa di un attacco informatico che ha compromesso un database contenente password crittografate e altri dati non finanziari."
Il post prosegue spiegando come la compagnia (stranamente scrivendo in terza persona, indicando una mancanza di accettazione) non abbia trovato prove del fatto che le informazioni finanziarie e relative alla carta di credito siano state compromesse in seguito all'attacco, avvenuto tra "fine febbraio e inizio marzo" ”. Le informazioni compromesse includevano "nome di clienti eBay, password crittografata, indirizzo email, indirizzo fisico, numero di telefono e data di nascita".
EBay insiste sul fatto che sta prendendo seriamente la questione ed è attualmente in corso "Lavorando con le forze dell'ordine e conducendo esperti di sicurezza, la società sta indagando in modo aggressivo sulla questione e applicando i migliori strumenti e pratiche forensi per proteggere i clienti".
Come sono stati compromessi i dati di eBay?
Avendo rilevato la violazione della sicurezza circa due settimane fa, eBay ha menzionato "le credenziali di accesso dei dipendenti compromesse" che sono da biasimare per l'intrusione. Un'inchiesta forense quindi "ha identificato il database eBay compromesso" in cui sono archiviati i dati personali, per ogni singolo utente di eBay.
Potresti voler rileggere quell'ultimo paragrafo.
A questo punto, non è chiaro esattamente come siano stati compromessi gli account dei dipendenti eBay. Un suggerimento è che potrebbero essere caduti in fallo di un attacco di phishing, in cui è stata inviata un'e-mail falsa chiedendo loro di accedere e reimpostare la password su un sito Web dall'aspetto convincente. Un'alternativa - e queste sono solo speculazioni su come eBay sia stata presentata con pochi dettagli su questo affare vergognoso - è che la violazione è stata resa possibile da un attacco interno. Un dipendente potrebbe aver condotto questa interruzione?
Inoltre, considera il numero di account: dati personali di 145 milioni di persone sono stati apparentemente rubati. Se questa intrusione era il risultato della compromissione degli account dei dipendenti, c'era una sola persona che aveva accesso a tutti i 145 milioni di record?
La timeline, nel frattempo, coincide con la tempesta Heartbleed Danger Confirmed: Heartbleed apre davvero Crypto Keys per hacker Confermato il pericolo: Heartbleed apre davvero Crypto Keys per gli hacker La discussione è finita se la nuova vulnerabilità OpenSSL Heartbleed possa essere utilizzata per ottenere chiavi di crittografia private da server e siti Web vulnerabili. Cloudflare ha confermato che le chiavi di crittografia private sono a rischio. Leggi di più . In aprile eBay ha rassicurato gli utenti:
1) Il tuo account eBay è sicuro
2) I dettagli del tuo account eBay non sono stati esposti in passato e rimangono sicuri
3) Non è necessario intraprendere alcuna azione aggiuntiva per salvaguardare le tue informazioni
4) Non è necessario cambiare la password
Nel frattempo il servizio di cambio password di avvio Passomatic ha riferito che "tutti i suoi partner hanno fatto la correzione. Tra loro ci sono eBay. "
Heartbleed potrebbe essere stato il percorso verso eBay? O in modo più imbarazzante, l'attenzione sulla vulnerabilità di OpenSSL potrebbe essere stata una distrazione molto costosa per la casa d'aste online?
Trattare con la violazione della sicurezza
Uno degli aspetti più preoccupanti di questo caso è la cronologia. Sembra incredibile che eBay non abbia individuato la violazione prima, cosa che potrebbe indicare un'operazione di hacking di particolare abilità (allo stesso modo, potrebbe significare che la sicurezza del database di eBay non è adatta allo scopo).
A seguito dell'annuncio, eBay ha affermato che "gli utenti saranno avvisati tramite e-mail, comunicazioni sul sito e altri canali di marketing per cambiare la loro password". Tuttavia finora non ci sono state segnalazioni di e-mail ricevute, e solo i social network che emettono avvisi.
Quello che potresti non sapere su eBay, Inc. è che non solo possiede il famoso sito di aste online www.ebay.com e le sue varianti internazionali, ma possiede anche PayPal.
I rilasci imprevisti e limitati dei dettagli di eBay non li rendono favorevoli. Mentre sostengono che le loro altre attività non sono influenzate da questa violazione, il fatto è che, a meno che eBay non dimostri di saperlo con certezza, non c'è modo di poterci fidare di questa affermazione.
Essendo realistici, questa è una violazione della sicurezza di proporzioni catastrofiche. Il volume e la profondità dei dati rubati dagli account non hanno precedenti.
A peggiorare le cose, le e-mail di phishing ora arrivano nelle caselle di posta in tutto il mondo mentre i truffatori cercano di incassare la violazione (anche se un aspetto insolito del caso è che i dati non si sono ancora rivelati sul lato oscuro di Internet, portando ad alcune speculazioni non informate che la violazione è poco più di un esercizio di pubbliche relazioni).
La schermata precedente è stata scattata mercoledì 21 maggio, il giorno in cui si è verificata la perdita di notizie. Nessun avvertimento o consiglio da trovare!
Alcune altre cose che dovresti considerare. A partire da gennaio 2013 c'erano 112, 3 milioni di utenti attivi in tutto il mondo; Si dice che siano stati rubati 145 milioni di documenti. Ciò lascia il potenziale per il dirottamento di circa 30 milioni di account inutilizzati, più che sufficienti per distruggere le classificazioni interne di eBay e il sistema di fiducia che gli hacker dovrebbero scegliere. La fiducia è la chiave del modello di business di eBay, e senza di essa i suoi giorni potrebbero essere numerati.
Poi c'è la richiesta per le persone di cambiare le loro password. Il sito ha già riscontrato problemi di prestazioni in seguito alla notizia della violazione mentre gli utenti si accalcavano su eBay per iniziare a cambiare le password.
quindi ci viene consigliato di cambiare la nostra password ebay perché è stata violata ... eppure non posso a causa del traffico elevato. freddo.
- Angela (@CRiSPilyMEEE), 22 maggio 2014
@eBay_UK reimpostazione della password non funzionante non possiamo modificare le password su nessuno dei nostri account, invia il link di reset della posta ma mantiene il loop
- Livello 1 online (@ tier1online), 22 maggio 2014
Ciò significa che gli utenti possono anche trovare l'opzione di modifica della password (suggerimento: fare clic sul pulsante dimenticato la password? Per risparmiare tempo).
Come diavolo cambi la tua password eBay? L'interfaccia utente è atroce. Ping @stilgherrian
- Justin Warren (@jpwarren), 21 maggio 2014
La domanda di dati finanziari: i dettagli della tua carta sono sicuri?
EBay insiste che nessun dato finanziario o di carta di credito è stato compromesso, solo nomi utente, password e indirizzi email.
Questo è un tentativo di controllo dei danni, tuttavia, per ridurre al minimo l'indignazione.
Supponiamo che tu voglia accedere ai dettagli della tua carta eBay, cosa faresti? Accedi, o corso, con il tuo nome utente e password. Mentre il numero della carta sarà in gran parte oscurato (salvo per le ultime quattro cifre) ci sono potenzialmente abbastanza informazioni qui per dare a un hacker ciò di cui hanno bisogno, dalla data di scadenza della carta alla conferma del tipo di carta, quanto spesso lo hai usato. Questa informazione è certamente sufficiente per scegliere un individuo come target e se vi sono riferimenti incrociati con altri account, possibilmente di più.
Ricorda, la tua identità online è fondamentalmente un set di dati della tua identità fisica. Ogni elemento - nome, data di nascita, indirizzo - è come un puzzle. Man mano che vengono trovati più pezzi, un'immagine più ampia di chi sei emerge.
Che cosa dovresti fare per proteggere i tuoi dati?
eBay ha dichiarato che le sue attività sono tenute separate. L'implicazione di questo dovrebbe essere che i dati di PayPal sono tenuti completamente isolati dai dati di eBay.
Tuttavia, poiché la società non è chiara su come si è verificata la violazione e su quali dipendenti sono stati interessati, non vi è alcun motivo per prendere sul serio questo commento.
Pertanto, ti consigliamo di modificare entrambe le tue password eBay e PayPal. Accertati che siano diversi e che non siano uguali a quelli usati per altri account online. Inoltre, fai attenzione ai consigli di eBay e contatta altri account online che hai utilizzato con la stessa password. I nostri consigli su come creare una password sicura 7 modi per creare password sicure e memorabili 7 modi per creare password sicure e memorabili Avere una password diversa per ogni servizio è un must nel mondo online di oggi, ma c'è un terribile debolezza delle password generate casualmente: è impossibile ricordarle tutte. Ma come puoi ricordare ... Leggi di più dovrebbe aiutarti qui. Potresti anche memorizzarli in un servizio sicuro o in un'app come LastPass.
Negli Stati Uniti, PayPal offre un sistema di autenticazione a due fattori utilizzando un piccolo strumento portatile per creare un codice. Anche se sembra che non ci sia un sistema simile per eBay, in effetti puoi metterti le mani su uno per il sito di aste dopo esserti iscritto al dispositivo PayPal. L'implementazione e la promozione di questi strumenti è stata scarsa, come puoi vedere, ma l'autenticazione a due fattori è un must per qualsiasi servizio online che memorizza i dati su di te.
Ricorda, questi sono i tuoi dati che eBay sta ammettendo di aver perso. Il tuo nome, indirizzo, numero di telefono, data di nascita ... puoi cambiare la tua password, ma non puoi cambiarli.
Questa violazione è disastrosa per eBay
Come affermato in precedenza, riteniamo che cambiare la password e adottare l'autenticazione a due fattori (se disponibile) per eBay e PayPal sia la migliore linea di condotta.
Tuttavia, se consideriamo la mancanza di informazioni sulla violazione, la possibilità di un attacco interno, la mancanza di dati messi in vendita, il potenziale di 30 milioni di account zombie che distruggono il rating di fiducia del venditore di eBay e la sua incapacità di gestire le reimpostazioni della password, rimane una domanda che deve essere posta. Vuoi davvero essere un membro di un sito web che tratta i dati degli utenti e le violazioni della sicurezza in questo modo?
Se stai pensando "ma eBay è l'unico sito di aste decenti!", Allora ti sbagli di grosso, visto che ci sono molte alternative da controllare Fed Up With eBay? Qui ci sono alcune alternative degne (e più economiche) per i venditori stufi di eBay? Ecco alcune alternative degne (e più economiche) per i venditori Quando vuoi vendere la tua spazzatura in eccesso online, dove vai? Per la maggior parte delle persone, l'unica risposta è eBay. Con milioni di utenti giornalieri, sembra logico utilizzare il ... Per saperne di più.
Tuttavia, ti invitiamo a riflettere seriamente su questo argomento. Potrebbe non salvare i tuoi dati rubati, ma un numero sufficiente di persone che votano con i piedi darà ad altre società la causa di agire responsabilmente in queste situazioni in futuro.
Hai ricevuto un'email da eBay? Hai già cambiato la password? Come ti senti su questa breccia?
Fateci sapere che ne pensate nei commenti.
Credito immagine: wk1003mike tramite Shutterstock.com