I hvilket er en af de største brud på brugerdata endnu, har eBay afsløret, at serverne i marts 2014 blev kompromitteret. Bortset fra at bekræfte at medarbejderkonti blev co-optaget og rådgive eBay-kontoindehavere til at ændre deres adgangskoder, afslører det intet andet.
Så hvad skal du gøre? Er du ved at ændre din adgangskode, eller skal du gå videre? Måske omfatter dine bekymringer andre eBay-ejede tjenester, især PayPal?
eBay forklarer hvad der skete
I et blogindlæg med overskriften "eBay Inc. for at bede eBay-brugere om at ændre adgangskoder" onsdag den 21. maj (efter en tidligere tom blogpost, der lækkede sikkerhedsbruddet, så flere nyhedsforretninger kunne få springet på eBay) meddelte auktionsgiganten at
"... det vil bede eBay-brugere om at ændre deres adgangskoder på grund af en cyberattack, der kompromitterede en database, der indeholder krypterede adgangskoder og andre ikke-finansielle data."
Posten fortsætter med at forklare, hvordan virksomheden (mærkeligt at skrive i den tredje person, der angiver manglende accept) ikke har fundet noget bevis for, at finansielle og kreditkortoplysninger er blevet kompromitteret efter angrebet, som fandt sted i løbet af "sent februar og begyndelsen af marts ”. Kompromitterede oplysninger inkluderet "eBay kunders navn, krypteret adgangskode, email adresse, fysisk adresse, telefonnummer og fødselsdato."
EBay insisterer på, at det tager sagen alvorligt og er i øjeblikket "Arbejder med retshåndhævende myndigheder og ledende sikkerhedseksperter, virksomheden undersøger aggressivt sagen og anvender de bedste retsmedicinske værktøjer og praksis til beskyttelse af kunderne."
Hvordan var din eBay data kompromitteret?
Efter at have opdaget sikkerhedsbruddet omkring to uger siden nævnte eBay om "de kompromitterede medarbejder log-in legitimationsoplysninger", som skyldes indtrængen. En retsmedicinsk undersøgelse "identificeret den kompromitterede eBay-database", hvor personlige data - for hver enkelt eBay-bruger - er gemt.
Du vil muligvis gerne læse det sidste afsnit igen.
På dette tidspunkt er det uklart, hvordan eBay-medarbejderkonti blev kompromitteret. Et forslag er, at de måske er blevet ramt af et phishing-angreb, hvor der blev sendt en falsk email, der beder dem om at logge ind og nulstille deres adgangskode på et overbevisende websted. Et alternativ - og det er kun spekulationer, som eBay har været kommende med små detaljer om denne skændige affære - at bruddet blev gjort muligt ved et internt angreb. Kunne en medarbejder have gennemført denne pause?
Overvej også antallet af konti: Personoplysninger på 145 millioner mennesker er tilsyneladende blevet stjålet. Hvis dette indbrud var resultatet af medarbejderkonti i fare, var der en enkelt person, der havde adgang til alle 145 millioner poster?
Tidslinjen falder samtidig sammen med Heartbleed Storm Fare Bekræftet: Heartbleed virkelig åbner op Crypto Keys til hackere Fare bekræftet: Heartbleed virkelig åbner op Crypto Keys til hackere Debatten er slut om, om den nye OpenSSL Heartbleed sårbarhed kunne udnyttes for at opnå private krypteringsnøgler fra sårbare servere og hjemmesider. Cloudflare har bekræftet, at private krypteringsnøgler er i fare. Læs mere . I april beroligede eBay brugere:
1) Din eBay-konto er sikker
2) Dine eBay-kontooplysninger blev ikke eksponeret tidligere og forbliver sikre
3) Du behøver ikke træffe yderligere foranstaltninger for at beskytte dine oplysninger
4) Der er ikke behov for at ændre dit kodeord
I mellemtiden rapporterede opstartskodeordningsskiftet Passomatic, at "alle sine partnere har foretaget reparationen. Blandt dem er eBay. "
Kunne Heartbleed have været ruten ind i eBay? Eller mere pinligt, kunne fokus på OpenSSL sårbarheden vise sig at have været en meget dyr distraktion for online-auktionshuset?
Håndterer sikkerhedsbruddet
Et af de mest omtalte aspekter om denne sag er tidslinjen. Det virker bemærkelsesværdigt, at eBay ikke registrerede overtrædelsen før, noget der kan tyde på en hacking-operation med særlig dygtighed (det kan også betyde, at eBay's databasesikkerhed ikke passer til formål).
Efter meddelelsen hævdede eBay, at "brugere vil blive underrettet via e-mail, webstedskommunikation og andre marketingkanaler for at ændre deres adgangskode". Hidtil har der ikke været rapporter om, at e-mails modtages, og kun sociale netværk, der udsteder meddelelser.
Hvad du måske ikke ved om eBay, Inc. er, at den ikke kun ejer det populære online auktionssted www.ebay.com og dets internationale varianter, det ejer også PayPal.
De unapologetic, begrænsede detaljer udgivelser af eBay gør dem ingen favoriserer. Selvom de hævder, at deres andre virksomheder ikke er upåvirket af dette brud, er faktumet, at medmindre eBay beviser at de ved det helt sikkert, er der ingen måde, hvorpå vi kan stole på denne påstand.
At være realistisk er dette et sikkerhedsbrud af katastrofale proportioner. Volumen og dybde af data stjålet fra konti er hidtil uset.
For at gøre sagen værre, kommer phishing-e-mails nu i indbakke over hele verden som svindlere forsøger at indbetale bruddet (selvom et usædvanligt aspekt ved sagen er, at dataene endnu ikke er kommet op på den mørkere side af internettet, hvilket fører til nogle uinformerede spekulationer om, at overtrædelsen er lidt mere end en PR-øvelse.)
Skærmhætten ovenfor blev taget onsdag den 21. maj, dagens nyheder om lækagen brød. Ingen advarsler eller råd til rådighed!
Nogle andre ting, du bør overveje. Fra januar 2013 var der 112, 3 millioner aktive brugere over hele verden; 145 millioner optegnelser siges at være blevet stjålet. Dette medfører potentialet for, at omkring 30 millioner ubrugte konti bliver kapret - mere end nok til at ødelægge eBay's interne ratings og tillidssystem, hvis hackerne vælger det. Tillid er nøglen til eBays forretningsmodel, og uden det kunne dets dage nummereres.
Så er der en anmodning om, at folk ændrer deres adgangskoder. Siden har allerede oplevet ydeevneproblemer efter nyheder om overtrædelsen, da brugere flockede til eBay for at begynde at ændre adgangskoder.
så vi anbefales at ændre vores ebay-adgangskode, fordi det er blevet hacket ... men jeg kan ikke på grund af høj trafik. fedt nok.
- Angela (@CRiSPilyMEEE) 22. maj 2014
@eBay_UK password reset fungerer ikke, vi kan ikke ændre adgangskoderne på et af vores konti, sender e-mail-nulstiller linket, men holder looping
- Tier 1 Online (@ tier1online) 22. maj 2014
Det er, hvis brugerne endda kan finde ændringsadgangskoden (hint: klik på knappen Glemt din adgangskode? For at spare tid).
Hvordan i alverden ændrer du din eBay-adgangskode? UI'en er frygtelig. Ping @ stilgherrian
- Justin Warren (@jpwarren) 21. maj 2014
Spørgsmål om finansielle data: Er dine kortoplysninger sikre?
EBay insisterer på, at ingen økonomiske eller kreditkortdata er blevet kompromitteret, kun brugernavne, adgangskoder og e-mail-adresser.
Dette er et forsøg på at beskadige kontrollen for at minimere ubehag.
Sig, du ønskede at få adgang til dine eBay-kort detaljer, hvad ville du gøre? Log ind eller kursus med dit brugernavn og adgangskode. Mens kortnummeret i høj grad er skjult (gemt for de sidste fire cifre) er der potentielt nok information her for at give en hacker det, de har brug for, fra kortets udløbsdato til bekræftelse af din korttype, hvor ofte du har brugt det. Disse oplysninger er helt sikkert tilstrækkelige til at vælge en person ud som et mål, og hvis krydshenviset med andre konti, muligvis mere.
Husk, din online identitet er dybest set et datasæt af din fysiske identitet. Hvert element - navn, fødselsdato, adresse - er som et stiksav. Som flere stykker findes, et større billede af, hvem du kommer frem.
Hvad skal du gøre for at beskytte dine data?
eBay har oplyst, at dets virksomheder holdes adskilt. Implikationen af dette bør være, at PayPal-data holdes fuldstændig isoleret fra eBay-data.
Men da selskabet har været uklart over, hvordan overtrædelsen fandt sted, og hvilke medarbejdere der var påvirket, er der ingen grund til at tage denne kommentar alvorligt.
Som sådan anbefaler vi, at du ændrer både dine eBay- og PayPal-adgangskoder. Sørg for, at disse er forskellige, og de er ikke de samme som dem, der bruges til andre online-konti. Vær også opmærksom på eBays rådgivning og adresser andre online-konti, du har, der brugte samme adgangskode. Vores tips om at oprette en sikker adgangskode 7 måder at oprette adgangskoder, der er både sikre og mindeværdige 7 måder at lave adgangskoder, der er både sikre og mindeværdige At have en anden adgangskode til hver tjeneste er et must i dagens online verden, men der er en frygtelig svaghed til tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske ... Læs mere skal hjælpe dig her. Du kan også gemme dem i en sikker tjeneste eller en app som LastPass.
I USA tilbyder PayPal et tofaktors godkendelsessystem ved hjælp af et lille håndholdt værktøj til at oprette en kode. Selv om det ser ud til, at der ikke findes noget lignende system til eBay, kan du faktisk få dine hænder på en til auktionswebstedet, når du har tilmeldt PayPal-enheden. Gennemførelsen og forfremmelsen af disse værktøjer har været dårlig, som du kan se, men tofaktorautentificering er et must for enhver onlinetjeneste, der gemmer data om dig.
Husk, dette er dine data, som eBay indrømmer at have mistet. Dit navn, adresse, telefonnummer, fødselsdag ... du kan ændre dit kodeord, men du kan ikke ændre dem.
Dette brud er katastrofalt for eBay
Som tidligere nævnt mener vi, at ændring af dine adgangskoder og vedtagelse af tofaktorautentificering (hvor tilgængelig) til eBay og PayPal er det bedste handlingsforløb.
Men hvis vi overvejer manglen på oplysninger om bruddet, kan muligheden for et internt angreb, manglen på data, der udbydes til salg, ødelægge eBay's sælgers tillidsklassificering og dets manglende evne til at klare adgangskodeindstillingerne., er der stadig et spørgsmål, der skal stilles. Ønsker du virkelig at være medlem af et websted, der behandler brugerdata og sikkerhedsbrud på denne måde?
Hvis du tænker ", men eBay er det eneste anstændige auktionssted!" Så er du helt forkert, da der er masser af alternativer, som du bør tjekke ud Fed Up With eBay? Her er nogle værdige (og billigere) alternativer til sælgerne Fed Up med eBay? Her er nogle værdige (og billigere) alternativer til sælgere Når du vil sælge dit overskydende uønsket online, hvor går du? For de fleste er det eneste svar eBay. Med millioner af daglige brugere synes det kun logisk at bruge ... Læs mere.
Vi vil dog opfordre dig til at give denne sag alvorlig tanke. Det kan ikke gemme dine stjålne data, men nok folk, der stemmer med deres fødder, vil give andre virksomheder anledning til at handle ansvarligt i disse situationer i fremtiden.
Har du modtaget en e-mail fra eBay? Har du allerede ændret din adgangskode? Hvordan føler du dig om dette brud?
Lad os vide dine tanker i kommentarerne.
Billedkredit: wk1003mike via Shutterstock.com