Σε μια από τις μεγαλύτερες παραβιάσεις των δεδομένων χρήστη, το eBay αποκάλυψε ότι τον Μάρτιο του 2014 οι διακομιστές του διακυβεύονταν. Εκτός από την επιβεβαίωση ότι οι λογαριασμοί του προσωπικού ήταν συν-opted και την παροχή συμβουλών στους κατόχους λογαριασμών eBay για να αλλάξουν τους κωδικούς τους, δεν αποκαλύπτει τίποτα άλλο.
Λοιπόν, τι πρέπει να κάνετε; Αλλάζει ο κωδικός σας αρκετά ή πρέπει να προχωρήσετε περισσότερο; Ίσως οι ανησυχίες σας να επεκταθούν σε άλλες eBay ιδιόκτητες υπηρεσίες, κυρίως PayPal;
Το eBay εξηγεί τι συνέβη
Σε μια δημοσίευση στο blog με τίτλο "eBay Inc. να ζητήσει από τους χρήστες eBay να αλλάξουν κωδικούς πρόσβασης" την Τετάρτη 21 Μαΐου (μετά από μια προηγούμενη άδεια κενή θέση που διαρρέει την παραβίαση της ασφάλειας, επιτρέποντας σε πολλά καταστήματα ειδήσεων να πάρουν το άλμα στο eBay) ότι
"... θα ζητήσει από τους χρήστες του eBay να αλλάξουν τους κωδικούς τους, εξαιτίας ενός cyberattack που παραβίασε μια βάση δεδομένων που περιέχει κρυπτογραφημένους κωδικούς πρόσβασης και άλλα μη οικονομικά δεδομένα".
Η θέση συνεχίζει να εξηγεί πώς η εταιρεία (με το περίεργο γράψιμο στο τρίτο πρόσωπο, υποδεικνύοντας την έλλειψη αποδοχής) δεν βρήκε στοιχεία που να αποδεικνύουν ότι τα οικονομικά στοιχεία και οι πληροφορίες της πιστωτικής κάρτας έχουν υπονομευθεί μετά την επίθεση που έλαβε χώρα κατά το τέλος Φεβρουαρίου και αρχές Μαρτίου ". Οι συμβιβασμένες πληροφορίες περιελάμβαναν το όνομα των πελατών του eBay, τον κρυπτογραφημένο κωδικό πρόσβασης, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τη φυσική διεύθυνση, τον αριθμό τηλεφώνου και την ημερομηνία γέννησης.
Το EBay επιμένει ότι λαμβάνει σοβαρά υπόψη το ζήτημα και είναι επί του παρόντος "Συνεργασία με τους αρμόδιους για την επιβολή του νόμου και τους κορυφαίους εμπειρογνώμονες στον τομέα της ασφάλειας, η εταιρεία επιθετικά διερευνά το θέμα και εφαρμόζει τα καλύτερα εργαλεία και πρακτικές εγκληματολογίας για την προστασία των πελατών".
Πώς έχουν συμβιβαστεί τα eBay δεδομένα σας;
Έχοντας εντοπίσει την παραβίαση ασφαλείας περίπου πριν από δύο εβδομάδες, το eBay έκανε λόγο για "τα συμβεβλημένα πιστοποιητικά σύνδεσης των υπαλλήλων", τα οποία ευθύνονται για τη διείσδυση. Μια εγκληματολογική έρευνα έπειτα "αναγνώρισε τη συμβιβασμένη βάση δεδομένων eBay" όπου αποθηκεύονται προσωπικά δεδομένα - για κάθε χρήστη του eBay.
Ίσως θελήσετε να ξαναδιαβάσετε αυτή την τελευταία παράγραφο.
Σε αυτό το σημείο, δεν είναι σαφές πώς ακριβώς οι λογαριασμοί των εργαζομένων του eBay διακυβεύονταν. Μια πρόταση είναι ότι μπορεί να έχουν αποτύχει από μια επίθεση ηλεκτρονικού "ψαρέματος" (phishing), όπου ένα ψεύτικο ηλεκτρονικό ταχυδρομείο στάλθηκε ζητώντας τους να συνδεθούν και να επαναφέρουν τον κωδικό πρόσβασής τους σε έναν ιστότοπο με πειστική εμφάνιση. Μια εναλλακτική λύση - και αυτά είναι μόνο η εικασία, όπως το eBay έρχεται με λίγες λεπτομέρειες για αυτή την επαίσχυντη υπόθεση - είναι ότι η παραβίαση έγινε δυνατή από μια εσωτερική επίθεση. Θα μπορούσε ένας υπάλληλος να διενεργήσει αυτό το διάλειμμα;
Επίσης, εξετάστε τον αριθμό των λογαριασμών: προσωπικά δεδομένα 145 εκατομμυρίων ανθρώπων έχουν προφανώς κλαπεί. Εάν αυτή η διείσδυση είχε ως αποτέλεσμα τη μείωση των λογαριασμών των εργαζομένων, υπήρχε ένα άτομο που είχε πρόσβαση σε όλα τα 145 εκατομμύρια αρχεία;
Το χρονικό πλαίσιο, εν τω μεταξύ, συμπίπτει με την κακοήθη θύελλα Κίνδυνος Επιβεβαιωμένος: Η Heartbleed πραγματικά ανοίγει τα κλειδιά κρυπτογράφησης στους χάκερ Κίνδυνος Επιβεβαιώθηκε: Η Heartbleed πραγματικά ανοίγει τα κλειδιά κρυπτογράφησης στους χάκερ Η συζήτηση τελείωσε σχετικά με το εάν η νέα ευπάθεια OpenSSL Heartbleed θα μπορούσε να χρησιμοποιηθεί για να αποκτήσει ιδιωτικά κλειδιά κρυπτογράφησης από ευπαθείς διακομιστές και ιστότοπους. Η Cloudflare επιβεβαίωσε ότι τα ιδιωτικά κλειδιά κρυπτογράφησης βρίσκονται σε κίνδυνο. Διαβάστε περισσότερα . Τον Απρίλιο, το eBay διαβεβαίωσε τους χρήστες:
1) Ο λογαριασμός eBay είναι ασφαλής
2) Τα στοιχεία του λογαριασμού σας στο eBay δεν ήταν εκτεθειμένα στο παρελθόν και παραμένουν ασφαλή
3) Δεν χρειάζεται να κάνετε οποιαδήποτε πρόσθετη ενέργεια για να διαφυλάξετε τις πληροφορίες σας
4) Δεν χρειάζεται να αλλάξετε τον κωδικό πρόσβασής σας
Εν τω μεταξύ, η υπηρεσία αλλαγής κωδικού πρόσβασης εκκίνησης Passomatic ανέφερε ότι "όλοι οι συνεργάτες της έχουν κάνει την επιδιόρθωση. Μεταξύ αυτών είναι το eBay. "
Θα μπορούσε η Heartbleed να είναι η διαδρομή στο eBay; Ή πιο ενοχλητικό, θα μπορούσε η εστίαση στην ευπάθεια του OpenSSL να αποδειχθεί ότι ήταν πολύ δαπανηρή απόσπαση της προσοχής για το ηλεκτρονικό σπίτι δημοπρασιών;
Αντιμετώπιση της παραβίασης ασφαλείας
Ένα από τα πιο σημαντικά ζητήματα σχετικά με αυτήν την περίπτωση είναι το χρονοδιάγραμμα. Φαίνεται αξιοσημείωτο ότι το eBay δεν ανίχνευσε την παραβίαση νωρίτερα, κάτι που μπορεί να υποδηλώνει μια λειτουργία πειρατείας με ιδιαίτερη δεξιότητα (εξίσου, θα μπορούσε να σημαίνει ότι η ασφάλεια της βάσης δεδομένων του eBay δεν είναι κατάλληλη για το σκοπό).
Μετά την ανακοίνωση, το eBay ισχυρίστηκε ότι "οι χρήστες θα ειδοποιηθούν μέσω ηλεκτρονικού ταχυδρομείου, επικοινωνιών μέσω ιστότοπου και άλλων καναλιών μάρκετινγκ για να αλλάξουν τον κωδικό πρόσβασής τους". Ωστόσο, μέχρι στιγμής δεν έχουν αναφερθεί μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνονται, και μόνο τα κοινωνικά δίκτυα που εκδίδουν ειδοποιήσεις.
Αυτό που ίσως δεν γνωρίζετε για την eBay, Inc είναι ότι δεν κατέχει μόνο το δημοφιλές ηλεκτρονικό site δημοπρασιών www.ebay.com και τις διεθνείς παραλλαγές της, κατέχει επίσης το PayPal.
Οι απερίγραπτες, περιορισμένες λεπτομέρειες που κυκλοφορούν από το eBay δεν τους καθιστούν ευνοϊκές. Ενώ ισχυρίζονται ότι οι άλλες επιχειρήσεις τους δεν επηρεάζονται από αυτήν την παραβίαση, το γεγονός είναι ότι αν δεν αποδείξει η eBay ότι το γνωρίζουν αυτό σίγουρα, δεν υπάρχει κανένας τρόπος να εμπιστευτούμε αυτόν τον ισχυρισμό.
Είναι ρεαλιστική, είναι μια παραβίαση της ασφάλειας των κατακλυσμικών αναλογιών. Ο όγκος και το βάθος των δεδομένων που έχουν κλαπεί από τους λογαριασμούς είναι άνευ προηγουμένου.
Για να χειροτερέψουν τα πράγματα, τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" φθάνουν τώρα στα inboxes σε όλο τον κόσμο, καθώς οι απατεώνες επιχειρούν να εισπράξουν την παραβίαση (αν και μια ασυνήθιστη πτυχή της περίπτωσης είναι ότι τα δεδομένα δεν έχουν εμφανιστεί ακόμα στη σκοτεινή πλευρά του Διαδικτύου, οδηγώντας σε κάποιες απροειδοποίητες εικασίες ότι η παραβίαση είναι λίγο περισσότερο από μια άσκηση PR).
Το ανώτατο όριο οθόνης λήφθηκε την Τετάρτη, 21 Μαΐου, έσπασε η είδηση της διαρροής. Δεν υπάρχουν προειδοποιήσεις ή συμβουλές!
Κάποια άλλα πράγματα που πρέπει να εξετάσετε. Από τον Ιανουάριο του 2013 υπήρχαν 112, 3 εκατομμύρια ενεργοί χρήστες παγκοσμίως. 145 εκατομμύρια αρχεία λέγεται ότι έχουν κλαπεί. Αυτό αφήνει το δυναμικό για περίπου 30 εκατομμύρια αχρησιμοποίητους λογαριασμούς - περισσότερο από αρκετό για να καταστρέψει τις εσωτερικές αξιολογήσεις και το σύστημα εμπιστοσύνης του eBay σε περίπτωση που οι χάκερ επιλέξουν έτσι. Η εμπιστοσύνη είναι το κλειδί του επιχειρηματικού μοντέλου του eBay, και χωρίς αυτό, οι ημέρες του θα μπορούσαν να είναι αριθμημένες.
Στη συνέχεια, υπάρχει το αίτημα για αλλαγή των κωδικών πρόσβασης από τους χρήστες. Ο ιστότοπος έχει ήδη αντιμετωπίσει προβλήματα επιδόσεων μετά από νέα σχετικά με την παραβίαση, καθώς οι χρήστες συρρέουν στο eBay για να αρχίσουν να αλλάζουν κωδικούς πρόσβασης.
γι 'αυτό σας συμβουλεύουμε να αλλάξετε τον κωδικό πρόσβασης ebay επειδή έχει γίνει hacked ... όμως δεν μπορώ, λόγω της μεγάλης κυκλοφορίας. δροσερός.
- Angela (@ CRiSPilyMEEE) 22 Μαΐου 2014
@eBay_UK επαναφορά κωδικού πρόσβασης δεν λειτουργεί Δεν μπορούμε να αλλάξουμε τους κωδικούς πρόσβασης σε κανέναν από τους λογαριασμούς μας, στέλνει το σύνδεσμο επαναφοράς του μηνύματος ηλεκτρονικού ταχυδρομείου αλλά διατηρεί το βρόχο
- Βαθμίδα 1 σε απευθείας σύνδεση (@ tier1online) 22 Μαΐου 2014
Αυτό συμβαίνει εάν οι χρήστες μπορούν ακόμη και να βρουν την επιλογή αλλαγής κωδικού πρόσβασης (υπαινιγμός: κάντε κλικ στο κουμπί Ξεχάσατε τον κωδικό πρόσβασης για να εξοικονομήσετε χρόνο).
Πώς αλλάζετε τον eBay κωδικό σας; Το UI είναι ατρόμητο. Ping @stilgherrian
- Justin Warren (@jpwarren) στις 21 Μαΐου 2014
Η ερώτηση οικονομικών δεδομένων: Είναι ασφαλή τα στοιχεία της κάρτας σας;
Το eBay επιμένει ότι δεν έχουν διακυβευτεί δεδομένα χρηματοπιστωτικής ή πιστωτικής κάρτας, μόνο ονόματα χρηστών, κωδικοί πρόσβασης και διευθύνσεις ηλεκτρονικού ταχυδρομείου.
Αυτή είναι μια προσπάθεια ελέγχου των ζημιών, ωστόσο, για την ελαχιστοποίηση της οργής.
Ας υποθέσουμε ότι θέλετε να έχετε πρόσβαση στα στοιχεία της κάρτας eBay, τι θα κάνατε; Συνδεθείτε ή φυσικά με το όνομα χρήστη και τον κωδικό πρόσβασής σας. Ενώ ο αριθμός κάρτας θα είναι σε μεγάλο βαθμό συγκεχυμένος (εκτός από τα τελευταία τέσσερα ψηφία) υπάρχουν δυνητικά αρκετές πληροφορίες εδώ για να δώσουν στον χάκερ αυτό που χρειάζονται, από την ημερομηνία λήξης της κάρτας έως την επιβεβαίωση του τύπου της κάρτας σας, πόση συχνότητα το χρησιμοποιήσατε. Αυτές οι πληροφορίες σίγουρα επαρκούν για να επιλέξουμε ένα άτομο ως στόχο και εάν διασταυρωθούμε με άλλους λογαριασμούς, ενδεχομένως περισσότερο.
Να θυμάστε ότι η ηλεκτρονική σας ταυτότητα είναι βασικά ένα σύνολο δεδομένων της φυσικής σας ταυτότητας. Κάθε στοιχείο - όνομα, ημερομηνία γέννησης, διεύθυνση - είναι σαν παζλ. Όσο περισσότερα κομμάτια βρίσκονται, μια μεγαλύτερη εικόνα του ποιος θα βρεθείτε.
Τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας;
Το eBay δήλωσε ότι οι επιχειρήσεις του διατηρούνται ξεχωριστές. Η συνέπεια αυτού θα πρέπει να είναι ότι τα δεδομένα του PayPal διατηρούνται εντελώς απομονωμένα από τα δεδομένα του eBay.
Ωστόσο, καθώς η εταιρεία δεν ήταν σαφής για το πώς συνέβη η παραβίαση και οι υπάλληλοι που επηρεάστηκαν, δεν υπάρχει κανένας λόγος να ληφθεί αυτό το σχόλιο σοβαρά.
Ως εκ τούτου, συνιστούμε να αλλάξετε και τους δύο κωδικούς eBay και PayPal. Βεβαιωθείτε ότι αυτά είναι διαφορετικά και δεν είναι τα ίδια με αυτά που χρησιμοποιούνται για οποιονδήποτε άλλο λογαριασμό στο διαδίκτυο. Επιπλέον, λάβετε υπόψη τις συμβουλές του eBay και απευθυνθείτε σε άλλους ηλεκτρονικούς λογαριασμούς που έχετε χρησιμοποιήσει τον ίδιο κωδικό πρόσβασης. Συμβουλές μας για τη δημιουργία ενός ασφαλούς κωδικού πρόσβασης 7 τρόποι για να δημιουργήσετε κωδικούς πρόσβασης που είναι και οι δύο ασφαλείς και αξέχαστες 7 τρόποι για να συνθέτουν τους κωδικούς πρόσβασης που είναι τόσο ασφαλή και αξέχαστη Έχοντας έναν διαφορετικό κωδικό πρόσβασης για κάθε υπηρεσία είναι απαραίτητη στον online κόσμο του σήμερα, αλλά υπάρχει μια φοβερή αδυναμία στους τυχαία παραγόμενους κωδικούς πρόσβασης: είναι αδύνατο να τα θυμηθούμε όλα. Αλλά πώς μπορείτε να θυμάστε ... Διαβάστε περισσότερα θα πρέπει να σας βοηθήσει εδώ. Μπορείτε επίσης να τα αποθηκεύσετε σε μια ασφαλή υπηρεσία ή εφαρμογή, όπως το LastPass.
Στις ΗΠΑ, το PayPal προσφέρει ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων χρησιμοποιώντας ένα μικρό φορητό εργαλείο για τη δημιουργία ενός κώδικα. Παρόλο που φαίνεται ότι δεν υπάρχει παρόμοιο σύστημα για το eBay, μπορείτε πραγματικά να πάρετε τα χέρια σας σε ένα για το site δημοπρασίας, αφού έχετε εγγραφεί για τη συσκευή PayPal. Η υλοποίηση και η προώθηση αυτών των εργαλείων ήταν φτωχή, όπως μπορείτε να δείτε, αλλά ο έλεγχος ταυτότητας δύο παραγόντων είναι απαραίτητος για οποιαδήποτε υπηρεσία στο διαδίκτυο που αποθηκεύει δεδομένα σχετικά με εσάς.
Θυμηθείτε, αυτά είναι τα δεδομένα σας που το eBay παραδέχεται ότι έχει χάσει. Το όνομά σας, η διεύθυνσή σας, ο αριθμός τηλεφώνου σας, τα γενέθλιά σας ... μπορείτε να αλλάξετε τον κωδικό πρόσβασης, αλλά δεν μπορείτε να τα αλλάξετε.
Αυτή η παραβίαση είναι καταστροφική για το eBay
Όπως προαναφέρθηκε, πιστεύουμε ότι η αλλαγή των κωδικών πρόσβασής σας και η υιοθέτηση της ταυτότητας δύο παραγόντων (όπου είναι διαθέσιμη) για το eBay και το PayPal είναι η καλύτερη πορεία δράσης.
Ωστόσο, αν ληφθεί υπόψη η έλλειψη πληροφόρησης σχετικά με την παραβίαση, η πιθανότητα εσωτερικής επίθεσης, η έλλειψη δεδομένων που διατίθενται προς πώληση, η πιθανότητα 30 εκατομμυρίων λογαριασμών ζόμπι να καταστρέφουν την αξιοπιστία του πωλητή και η ανικανότητά του να αντιμετωπίσει τον κωδικό πρόσβασης, παραμένει ένα ερώτημα που πρέπει να τεθεί. Θέλετε πραγματικά να είστε μέλος ενός ιστοτόπου που αντιμετωπίζει τα δεδομένα των χρηστών και τις παραβιάσεις της ασφάλειας με αυτόν τον τρόπο;
Αν σκέφτεστε "αλλά το eBay είναι το μόνο αξιοπρεπές site δημοπρασιών!" Τότε είστε αρκετά λάθος, καθώς υπάρχουν πολλές εναλλακτικές λύσεις που πρέπει να ελέγξετε έξω Fed Up With eBay; Εδώ είναι μερικές αξίζει (και φτηνότερες) Εναλλακτικές λύσεις για τους πωλητές Fed Up με eBay; Εδώ είναι μερικές αξίζει (και φτηνότερες) Εναλλακτικές λύσεις για τους πωλητές Όταν θέλετε να πουλήσετε το πλεονάζον σκουπίδια online, πού πηγαίνετε; Για τους περισσότερους ανθρώπους, η μία και μοναδική απάντηση είναι η eBay. Με τα εκατομμύρια των καθημερινών χρηστών, φαίνεται λογικό να χρησιμοποιείτε το ... Διαβάστε περισσότερα.
Ωστόσο, σας ενθαρρύνουμε να δώσετε σοβαρή σκέψη στο θέμα αυτό. Μπορεί να μην αποθηκεύσετε τα κλεμμένα δεδομένα σας, αλλά αρκετά άτομα που ψηφίζουν με τα πόδια τους θα δώσουν άλλες εταιρείες να αναγκάσουν να ενεργούν υπεύθυνα σε αυτές τις καταστάσεις στο μέλλον.
Έχετε λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από το eBay; Έχετε ήδη αλλάξει τον κωδικό πρόσβασής σας; Πώς αισθάνεστε για αυτή την παραβίαση;
Ας γνωρίσουμε τις σκέψεις σας στα σχόλια.
Image Credit: wk1003mike μέσω του Shutterstock.com