I hva er en av de største bruddene på brukerdata ennå, har eBay avslørt at i mars 2014 var serverne blitt kompromittert. Annet enn å bekrefte at personalkontoer ble samvalgt og gi råd til ebay-kontoinnehavere for å endre passordene, avslører det ingenting annet.
Så hva skal du gjøre? Endrer passordet ditt nok, eller skal du gå videre? Kanskje dine bekymringer strekker seg til andre eBay-eide tjenester, spesielt PayPal?
eBay forklarer hva som skjedde
I et blogginnlegg med overskriften "eBay Inc. for å spørre eBay-brukere om å endre passord" onsdag 21. mai (etter et tidligere tomt blogginnlegg som lekkede sikkerhetsbruddene, slik at flere nyhetsbutikker kunne hoppe på eBay) annonserte auksjonen Giant at
"... det vil spørre eBay-brukere om å endre passordene sine på grunn av en cyberattack som kompromitterte en database som inneholder krypterte passord og andre ikke-finansielle data."
Posten fortsetter å forklare hvordan selskapet (merkelig skriving i den tredje personen, som indikerer manglende aksept) ikke har funnet noe bevis for at finansiell og kredittkortinformasjon er blitt kompromittert etter angrepet, som skjedde under "sent februar og tidlig mars ”. Kompromittert informasjon inkluderer "eBay kundens navn, kryptert passord, e-postadresse, fysisk adresse, telefonnummer og fødselsdato."
EBay insisterer på at det tar saken seriøst og er for tiden "Arbeider med politimyndighetene og ledende sikkerhetseksperter, selskapet undersøker saken aggressivt og bruker de beste rettsmedisinske verktøyene og rutinene for å beskytte kunder."
Hvordan var din eBay-data kompromittert?
Etter å ha oppdaget sikkerhetsbruddene for rundt to uker siden, nevnte eBay om "de kompromitterte ansattes loggingsopplysninger" som skyldes inntrengningen. En rettsmedisinsk undersøkelse "identifiserte den kompromitterte eBay-databasen" der personopplysninger - for hver enkelt eBay-bruker - er lagret.
Du vil kanskje gjerne lese det siste avsnittet.
På dette punktet er det uklart akkurat hvordan eBay-ansattes kontoer ble kompromittert. Ett forslag er at de kan ha falt feil av et phishing-angrep, hvor en falsk e-post ble sendt, og ba dem logge inn og tilbakestille passordet på et overbevisende nettsted. Et alternativ - og dette er bare spekulasjoner som eBay har vært kommende med liten detalj om denne skandaløse affære - er at bruddet ble gjort mulig ved et internt angrep. Kunne en medarbeider ha gjennomført denne pause?
Tenk også på antall kontoer: Personlige data på 145 millioner mennesker har tilsynelatende blitt stjålet. Hvis dette innbruddet var et resultat av ansattes kontoer, var det en enkelt person som hadde tilgang til alle 145 millioner poster?
Tidslinjen sammenfaller med Heartbleed Storm Fare Bekreftet: Heartbleed virkelig åpner krypteringsnøkler til hackere Fare bekreftet: Heartbleed virkelig åpner krypteringsnøkler til hackere Debatten er over om det nye OpenSSL Heartbleed sårbarheten kunne utnyttes for å skaffe seg private krypteringsnøkler fra sårbare servere og nettsteder. Cloudflare har bekreftet at private krypteringsnøkler er i fare. Les mer . I april beroligte eBay brukere:
1) eBay-kontoen din er sikker
2) eBay-kontoinformasjonene dine ble ikke eksponert tidligere og forbli sikre
3) Du trenger ikke å treffe ytterligere tiltak for å beskytte dine opplysninger
4) Det er ikke nødvendig å endre passordet ditt
Samtidig rapporterte oppstartspassordskiftet Passomatic at "alle sine partnere har gjort reparasjonen. Blant dem er eBay. "
Kunne Heartbleed ha vært ruten inn i eBay? Eller mer pinlig, kan fokuset på OpenSSL sårbarhet vise seg å ha vært en svært kostbar distraksjon for online-auksjonshuset?
Å håndtere sikkerhetsbrudd
En av de mest omtalte aspektene i denne saken er tidslinjen. Det virker bemerkelsesverdig at eBay ikke oppdaget bruddet før, noe som kan tyde på en hackingoperasjon av spesiell dyktighet (det kan også bety at eBays databasesikkerhet ikke passer for formål).
Etter annonseringen hevdet eBay at "brukere vil bli varslet via e-post, nettstedskommunikasjon og andre markedsføringskanaler for å endre passordet". Men så langt har det ikke vært rapporter om at e-post blir mottatt, og bare sosiale nettverk som utsteder meldinger.
Det du kanskje ikke vet om eBay, Inc. er at det ikke bare eier det populære online auksjonssettet www.ebay.com og dets internasjonale varianter, det eier også PayPal.
Den unapologetic, begrensede detaljer utgivelser av eBay gjør dem ingen favoriserer. Selv om de hevder at deres andre virksomheter ikke påvirkes av dette bruddet, er faktum at hvis ikke eBay viser at de vet dette sikkert, er det ingen måte at vi kan stole på denne påstanden.
Å være realistisk, dette er et sikkerhetsbrudd mot kataklysmiske proporsjoner. Volumet og dybden av data som er stjålet fra kontoer, er uten sidestykke.
For å gjøre saken verre, kommer phishing-e-post nå i innbokser rundt om i verden som svindlere forsøker å betale inn på bruddet (selv om et uvanlig aspekt ved saken er at dataene ennå ikke har kommet opp på den mørkere siden av Internett, noe som fører til litt uinformert spekulasjon om at bruddet er lite mer enn en PR-øvelse.)
Skjermenhetten over ble tatt på onsdag 21. mai, dagens nyheter om lekkasjen ble brutt. Ingen advarsler eller råd å bli funnet!
Noen andre ting du bør vurdere. Fra januar 2013 var det 112, 3 millioner aktive brukere over hele verden; 145 millioner plater sies å være blitt stjålet. Dette etterlater potensialet for at rundt 30 millioner ubrukte kontoer blir kapret - mer enn nok til å ødelegge eBays interne rangeringer og tillitssystem bør hackerne velge det. Tillit er nøkkelen til eBays forretningsmodell, og uten det kan dagene nummereres.
Deretter er det en forespørsel om at folk skal endre passordene sine. Nettstedet har allerede opplevd ytelsesproblemer etter nyheter om bruddet da brukere flocket til eBay for å begynne å endre passord.
så vi anbefales å endre ebay-passordet fordi det har blitt hacket ... men jeg kan ikke på grunn av høy trafikk. kul.
- Angela (@CRiSPilyMEEE) 22. mai 2014
@eBay_UK tilbakestilling av passord virker ikke, vi kan ikke endre passordene på noen av våre kontoer, sender e-postreset-koblingen, men holder looping
- Tier 1 Online (@ tier1online) 22. mai 2014
Det er hvis brukerne selv kan finne endringspassordet alternativet (hint: klikk på glemt passordet? Knappen for å spare tid).
Hvordan på jorden endrer du ditt eBay-passord? Brukergrensesnittet er fryktelig. Ping @ stilgherrian
- Justin Warren (@jpwarren) 21. mai 2014
Spørsmålet om økonomiske data: Er dine kortdetaljer trygge?
EBay insisterer på at ingen økonomiske eller kredittkortdata er blitt kompromittert, bare brukernavn, passord og e-postadresser.
Dette er et forsøk på skadekontroll, for å minimere utryddelse.
Si at du ønsket å få tilgang til dine eBay-kortdetaljer, hva ville du gjøre? Logg inn, eller kurs, med ditt brukernavn og passord. Mens kortnummeret i stor grad er skjult (lagre for de fire siste sifrene), er det potensielt nok informasjon her for å gi hacker det de trenger, fra kortets utløpsdato til bekreftelse av korttypen din, hvor ofte du har brukt den. Denne informasjonen er sikkert tilstrekkelig til å velge en person ut som et mål, og hvis kryssreferert med andre kontoer, muligens mer.
Husk at din online identitet er i utgangspunktet et datasett av din fysiske identitet. Hvert element - navn, fødselsdato, adresse - er som et stikksag. Ettersom flere brikker blir funnet, et større bilde av hvem du kommer fram.
Hva du bør gjøre for å beskytte dataene dine?
ebay har uttalt at dets virksomheter er alle holdt separat. Implikasjonen av dette burde være at PayPal-dataene holdes helt isolert fra eBay-data.
Men da selskapet har vært uklart om hvordan bruddet skjedde og hvilke ansatte som ble påvirket, er det ingen grunn til å ta denne kommentaren seriøst.
Som sådan anbefaler vi at du endrer både dine eBay- og PayPal-passord. Sørg for at disse er forskjellige, og de er ikke de samme som de som brukes for andre online kontoer. Videre, legg merke til eBays råd og adresser andre elektroniske kontoer du har som brukte det samme passordet. Våre tips om å skape et sikkert passord 7 måter å lage passord som er både sikre og minneverdige 7 måter å lage passord som er både sikre og minneverdige Å ha et annet passord for hver tjeneste er et must i dagens onlineverden, men det er en forferdelig svakhet til tilfeldig genererte passord: det er umulig å huske dem alle. Men hvordan kan du muligens huske ... Les mer skal hjelpe deg her. Du kan også lagre disse i en sikker tjeneste eller app som LastPass.
I USA tilbyr PayPal et tofaktors autentiseringssystem ved hjelp av et lite håndholdt verktøy for å opprette en kode. Mens det ser ut til at det ikke finnes noe lignende system for eBay, kan du faktisk få hendene på en for auksjonsstedet etter at du har registrert deg for PayPal-enheten. Implementeringen og markedsføringen av disse verktøyene har vært dårlig, som du kan se, men tofaktorautentisering er et must for enhver onlinetjeneste som lagrer data om deg.
Husk, dette er dine data som eBay innrømmer å ha mistet. Ditt navn, adresse, telefonnummer, bursdag ... du kan endre passordet ditt, men du kan ikke endre dem.
Dette bruddet er katastrofalt for eBay
Som tidligere sagt tror vi at endring av passordene dine og vedtak av tofaktorautentisering (der det er tilgjengelig) for eBay og PayPal, er det beste tiltaket.
Men hvis vi vurderer mangelen på informasjon om bruddet, er muligheten for et internt angrep, mangelen på data som blir satt opp til salgs, potensialet for 30 millioner zombiekontoer som ødelegger eBays selgere tillitsvurdering og dets manglende evne til å takle tilbakestilling av passord, er det fortsatt et spørsmål som må stilles. Vil du virkelig være medlem av et nettsted som behandler brukerdata og sikkerhetsbrudd på denne måten?
Hvis du tenker "men eBay er det eneste anstendige auksjonsstedet!" Så er du ganske feil, da det er mange alternativer som du bør sjekke ut Fed Up With eBay? Her er noen verdige (og billigere) alternativer for selgere Fed Up med eBay? Her er noen verdige (og billigere) alternativer til selgere Når du vil selge din overskytende søppel på nettet, hvor går du? For de fleste er det eneste svaret eBay. Med millioner av daglige brukere virker det bare logisk å bruke ... Les mer.
Vi vil imidlertid oppfordre deg til å gi denne saken alvorlig tanke. Det kan ikke lagre dine stjålne data, men nok folk som stemmer med føttene, vil gi andre selskaper anledning til å handle ansvarlig i disse situasjonene i fremtiden.
Har du mottatt en e-post fra eBay? Har du allerede endret passordet ditt? Hvordan føler du deg om dette bruddet?
Gi oss beskjed om dine tanker i kommentarene.
Bildekreditt: wk1003mike via Shutterstock.com