EBay Data Breach Vad du behöver veta
I vad är en av de största överträdelserna av användardata än, har eBay avslöjat att dess servrar i mars 2014 äventyras. Förutom att bekräfta att personalkonton samordnades och rådde eBay-kontoinnehavare att ändra sina lösenord, avslöjar det ingenting annat.
Så vad ska du göra? Ändrar ditt lösenord tillräckligt, eller ska du gå vidare? Kanske gäller dina bekymmer till andra eBay-ägda tjänster, i synnerhet PayPal?
eBay förklarar vad som hände
I ett blogginlägg med rubriken “eBay Inc. att be eBay-användare att ändra lösenord” onsdagen den 21 majst (efter ett tidigare tomt blogginlägg som läckte säkerhetsbrottet, vilket möjliggjorde flera nyheter för att hoppa på eBay) meddelade auktionsjätten att
“... det kommer att be eBay-användare att ändra sina lösenord på grund av en cyberattack som komprometterade en databas som innehåller krypterade lösenord och annan icke-ekonomisk data.”
Posten fortsätter att förklara hur företaget (märkligt skrivande i den tredje personen, vilket indikerar brist på acceptans) inte har funnit några bevis på att finansiell och kreditkortsinformation har äventyras efter attacken som ägde rum under “i slutet av februari och början av mars”. Kompromitterad information ingår “eBay-kundens namn, krypterat lösenord, e-postadress, fysisk adress, telefonnummer och födelsedatum.”
EBay insisterar på att det tar saken seriöst och är för närvarande “Arbeta med brottsbekämpning och ledande säkerhetsexperter undersöker företaget aggressivt frågan och tillämpar de bästa rättsmedicinska verktygen och metoderna för att skydda kunder.”
Hur var din eBay-data kompromissad?
Efter att ha upptäckt säkerhetsbrottet omkring två veckor sedan nämnde eBay “de kompromisserade anställdas inloggningsuppgifter” som är skyldiga för intrånget. En rättsmedicinsk utredning då “identifierade den komprometterade eBay-databasen” där personuppgifter - för varje enskild eBay-användare - lagras.
Du kanske vill läsa den sista stycket igen.
Vid denna tidpunkt är det oklart exakt hur eBay-anställda konton äventyras. Ett förslag är att de kan ha fallit fel på en phishing-attack där ett falskt e-postmeddelande skickades och bad dem att logga in och återställa sitt lösenord på en övertygande webbplats. Ett alternativ - och det här är bara spekulation som eBay har kommit med lite detaljer om den här skandalösa affären - är att överträdelsen gjordes genom en intern attack. Kan en anställd ha genomfört denna paus i?
Tänk också på antalet konton: Personuppgifter på 145 miljoner människor har uppenbarligen blivit stulna. Om detta intrång var resultatet av att anställda konton skadades, fanns det en enda person som hade tillgång till alla 145 miljoner poster?
Tidslinjen sammanfaller med Heartbleed Storm Danger Bekräftad: Heartbleed verkligen öppnar krypteringsnycklar till hackare Fare bekräftad: Heartbleed öppnar verkligen upp krypteringsnycklar till hackare Debatten är över om huruvida den nya OpenSSL Heartbleed sårbarheten kunde utnyttjas för att erhålla privata krypteringsnycklar från sårbara servrar och webbplatser. Cloudflare har bekräftat att privata krypteringsnycklar är i fara. Läs mer . I april berättade eBay:
1) Ditt eBay-konto är säkert
2) Din e-postkontoinformation var inte exponerad tidigare och är fortsatt säker
3) Du behöver inte vidta några ytterligare åtgärder för att skydda din information
4) Det är inte nödvändigt att ändra ditt lösenord
Samtidigt rapporterade startlösenordsbytesservice Passomatic det “alla sina partner har gjort korrigeringen. Bland dem är eBay.”
Kan Heartbleed ha varit vägen till eBay? Eller mer pinsamt, kan fokuseringen på OpenSSL sårbarhet visa sig ha varit en mycket dyr distraktion för onlineauktionen?
Hantering av säkerhetsbrottet
En av de mest angående aspekterna i detta fall är tidslinjen. Det verkar anmärkningsvärt att eBay inte upptäckte överträdelsen tidigare, något som kan indikera en hackoperation av särskild skicklighet (det kan också betyda att eBays databas säkerhet inte passar för ändamål).
Efter meddelandet hävdade eBay det “Användare kommer att bli underrättad via e-post, webbplatskommunikation och andra marknadsföringskanaler för att ändra sitt lösenord”. Men hittills har det inte rapporterats om att e-postmeddelanden mottas, och endast sociala nätverk som meddelar meddelanden.
Vad du kanske inte vet om eBay, Inc. är att det inte bara äger den populära auktionswebbplatsen www.ebay.com och dess internationella varianter, den äger även PayPal.
De unapologiska, begränsade detaljerna som släpps ut av eBay gör dem inga gynnar. Medan de hävdar att deras andra företag inte påverkas av denna överträdelse, är faktumet att om inte eBay bevisar att de vet det säkert, finns det ingen väg att vi kan lita på detta påstående.
Att vara realistiskt är detta ett säkerhetsbrott mot katastrofliga proportioner. Volymen och djupet av data som stulits från konton är aldrig tidigare skådad.
För att göra saken värre kommer phishing-e-postmeddelanden nu i inkorgar runt om i världen som svindlare försöker inkassera i överträdelsen (även om en ovanlig aspekt av fallet är att uppgifterna ännu inte har dykt upp på den mörkare sidan av Internet, vilket leder till vissa obemannade spekulationer om att överträdelsen är lite mer än en PR-övning.)
Skärmkåpan ovan togs onsdagen den 21 maj, dagens nyheter om läckan bröt. Inga varningar eller råd att hitta!
Några andra saker som du bör överväga. Från och med januari 2013 var det 112,3 miljoner aktiva användare över hela världen. 145 miljoner rekord sägs ha blivit stulna. Detta medför att potentialen för att cirka 30 miljoner oanvända konton ska kapas - mer än tillräckligt för att förstöra eBay: s interna betyg och tillitssystem, bör hackarna välja det. Tillit är viktig för eBays affärsmodell, och utan det kan dess dagar numreras.
Då är det en begäran om att människor ska ändra sina lösenord. Webbplatsen har redan upplevt prestandafrågor efter nyheter om överträdelsen när användare flockade till eBay för att börja ändra lösenord.
så vi rekommenderas att ändra vårt ebay lösenord eftersom det har hackats ... men jag kan inte på grund av hög trafik. Häftigt.
- Angela (@CRiSPilyMEEE) 22 maj 2014
@eBay_UK lösenordsåterställning fungerar inte vi kan inte ändra lösenord på någon av våra konton, skickar länken för e-poståterställning men håller looping
- Tier 1 Online (@ tier1online) 22 maj 2014
Det är om användarna kan hitta alternativet Ändra lösenordet (tips: klicka på Glömt ditt lösenord? knappen för att spara tid).
Finansiella frågor Fråga: Är dina kortuppgifter säkra?
EBay insisterar på att inga ekonomiska eller kreditkortsuppgifter har äventyras, endast användarnamn, lösenord och e-postadresser.
Detta är ett försök att skada kontrollen, för att minimera störningar.
Säg att du ville få tillgång till dina eBay-kortuppgifter, vad skulle du göra? Logga in, eller kurs, med ditt användarnamn och lösenord. Medan kortnumret i stor utsträckning kommer att döljas (spara för de sista fyra siffrorna) finns det tillräckligt med information här för att ge en hacker vad de behöver, från kortets utgångsdatum till bekräftelse på din korttyp, hur ofta du har använt den. Denna information är säkerligen tillräcklig för att välja en individ ut som ett mål och om det är korsreferens med andra konton, eventuellt mer.
Kom ihåg att din onlineidentitet är i grunden en dataset för din fysiska identitet. Varje element - namn, födelsedatum, adress - är som en pussel. Som fler bitar finns, en större bild av vem du kommer fram.
Vad du bör göra för att skydda dina data?
eBay har uppgett att dess verksamheter hålls separata. Implikationen av detta borde vara att PayPal-data hålls helt isolerade från eBay-data.
Men eftersom företaget har varit oklart om hur överträdelsen inträffade och vilka anställda påverkades, finns det ingen anledning att ta denna kommentar på allvar.
Som sådan rekommenderar vi att du ändrar både dina eBay och PayPal lösenord. Se till att dessa är olika och inte samma som de som används för andra onlinekonton. Observera dessutom eBays råd och adressera andra onlinekonton du har som använt samma lösenord. Våra tips om att skapa ett säkert lösenord 7 sätt att göra upp lösenord som är både säkra och minnesvärda 7 sätt att göra upp lösenord som är både säkra och minnesvärda Att ha ett annat lösenord för varje tjänst är ett måste i dagens onlinevärld, men det är en hemsk svaghet till slumpmässigt genererade lösenord: det är omöjligt att komma ihåg dem alla. Men hur kan du komma ihåg ... Läs mer borde hjälpa dig här. Du kan också lagra dem i en säker tjänst eller app som LastPass.
I USA erbjuder PayPal ett tvåfaktors autentiseringssystem med ett litet handhållet verktyg för att skapa en kod. Medan det verkar som om det inte finns något liknande system för eBay, kan du faktiskt få händerna på en på auktionssidan efter att du har anmält dig till PayPal-enheten. Implementeringen och marknadsföringen av dessa verktyg har varit dålig, vilket du kan se, men tvåfaktorsautentisering är ett måste för alla onlinetjänster som lagrar data om dig.
Kom ihåg att det här är dina uppgifter som eBay tillåter att ha förlorat. Ditt namn, adress, telefonnummer, födelsedag ... du kan ändra ditt lösenord, men du kan inte ändra dem.
Detta brott är katastrofalt för eBay
Som tidigare sagt tror vi att du ändrar dina lösenord och använder tvåfaktorsautentisering (där det är tillgängligt) för eBay och PayPal är det bästa sättet att agera.
Om vi betraktar bristen på information om överträdelsen, kan möjligheten till en intern attack, bristen på data som säljs, öka möjligheterna för 30 miljoner zombiekonton att förstöra eBays säljarförtroende och dess oförmåga att klara av lösenordsåterställningar , det finns fortfarande en fråga som måste ställas. Vill du verkligen vara medlem av en webbplats som behandlar användardata och säkerhetsbrott på detta sätt?
Om du tänker “men eBay är den enda anständiga auktionsplatsen!” då är du ganska fel, eftersom det finns många alternativ att du ska kolla in Fed Up With eBay? Här är några värdefulla (och billigare) alternativ för säljare Fed Up med eBay? Här är några värda (och billigare) alternativ till säljare När du vill sälja din överskotts skräp på nätet, vart går du? För de flesta är det enda svaret eBay. Med miljontals dagliga användare verkar det bara logiskt att använda ... Läs mer .
Vi uppmanar dock dig att ge denna fråga allvarliga tankar. Det kan inte rädda dina stulna data, men tillräckligt med människor som röstar med fötterna kommer att ge andra företag anledning att agera ansvarsfullt i dessa situationer i framtiden.
Har du fått ett e-postmeddelande från eBay? Har du ändrat ditt lösenord redan? Hur känner du dig om denna överträdelse?
Låt oss veta dina tankar i kommentarerna.
Bildkrediter: wk1003mike via Shutterstock.com
Utforska mer om: eBay, Online Security, PayPal.