Содержание
Что является одним из самых серьезных нарушений пользовательских данных, eBay обнаружил, что в марте 2014 года его серверы были взломаны. Помимо подтверждения того, что учетные записи сотрудников были использованы совместно, а также рекомендации владельцам учетных записей eBay сменить свои пароли, ничего больше не раскрывается.
Итак, что нужно делать? Достаточно ли изменить свой пароль, или вы должны пойти дальше? Возможно, ваши опасения распространяются и на другие услуги, принадлежащие eBay, в первую очередь на PayPal?
eBay объясняет, что произошло
В своем блоге, озаглавленном «eBay Inc., чтобы попросить пользователей eBay сменить пароли» в среду 21 мая (после более раннего пустого поста в блоге, в котором просочилась информация о нарушении безопасности, позволив нескольким новостным каналам получить доступ к eBay), аукционный гигант объявил, что
«… Он будет просить пользователей eBay изменить свои пароли из-за кибератаки, которая скомпрометировала базу данных, содержащую зашифрованные пароли и другие нефинансовые данные».
Далее в сообщении объясняется, как компания (как ни странно, пишет от третьего лица, что указывает на непринятие) не нашла никаких доказательств того, что информация о финансовых и кредитных картах была скомпрометирована после атаки, имевшей место в «конце февраля и начале марта». ». Компрометированная информация включала в себя «имя клиента eBay, зашифрованный пароль, адрес электронной почты, физический адрес, номер телефона и дату рождения».
EBay настаивает на том, что он серьезно относится к этому вопросу и в настоящее время «работая с правоохранительными органами и ведущими экспертами в области безопасности, компания активно исследует этот вопрос и применяет лучшие инструменты и методы судебной экспертизы для защиты клиентов».
Как были подвергнуты риску данные вашего eBay?
Обнаружив брешь в системе безопасности около двух недель назад, eBay упомянул «скомпрометированные учетные данные для входа сотрудника», которые виноваты во вторжении. Затем судебно-медицинская экспертиза «определила скомпрометированную базу данных eBay», где хранятся персональные данные — для каждого пользователя eBay.
Вы можете перечитать последний абзац.
На данный момент неясно, как именно скомпрометированы учетные записи сотрудников eBay. Одно из предположений заключается в том, что они, возможно, потерпели неудачу от фишинг-атаки, когда им было отправлено поддельное электронное письмо с просьбой войти в систему и сбросить свой пароль на убедительно выглядящем веб-сайте. Альтернатива — а это всего лишь предположение, так как eBay выдвигает мало подробностей об этом позорном деле, — это то, что нарушение стало возможным благодаря внутренней атаке. Мог ли сотрудник провести этот перерыв?
Также рассмотрим количество аккаунтов: личные данные 145 миллионов человек, по-видимому, были похищены. Если это вторжение было результатом взлома учетных записей сотрудников, был ли единственный человек, который имел доступ ко всем 145 миллионам записей?
Сроки, тем временем, совпадают с штормом Heartbleed
, В апреле eBay успокоил пользователей:
1) Ваша учетная запись на eBay безопасна
2) Ваши данные учетной записи eBay не были раскрыты в прошлом и остаются в безопасности
3) Вам не нужно предпринимать никаких дополнительных действий для защиты вашей информации
4) Нет необходимости менять пароль
Между тем, служба смены пароля при запуске Passomatic сообщила, что «все ее партнеры сделали это. Среди них — eBay ».
Мог ли Heartbleed стать путеводителем по eBay? Или, что более смущающе, может ли оказаться, что фокус на уязвимости OpenSSL стал очень дорогостоящим отвлечением для онлайн-аукциона?
Работа с брешей в безопасности
Одним из наиболее важных аспектов этого дела является временная шкала. Замечательно, что eBay не обнаружил нарушение раньше, что может указывать на операцию взлома определенного навыка (в равной степени это может означать, что безопасность базы данных eBay не подходит для этой цели).
После объявления eBay заявил, что «пользователи будут уведомлены по электронной почте, через сайт и другие маркетинговые каналы об изменении своего пароля». Однако до сих пор не было сообщений о получении электронных писем, и только социальные сети выпускали уведомления.
Что вы можете не знать о eBay, Inc., так это то, что она не только владеет популярным сайтом онлайн-аукционов www.ebay.com и его международными версиями, но также владеет PayPal.
Оскорбительные, ограниченные выпуски деталей eBay не оказывают им никакой пользы. Хотя они утверждают, что это нарушение не затронуло их другие предприятия, факт заключается в том, что, если eBay не докажет, что знает это наверняка, мы не сможем доверять этому утверждению.
Будучи реалистичным, это нарушение безопасности в катастрофических масштабах. Объем и глубина данных, похищенных со счетов, беспрецедентны.
Что еще хуже, фишинговые электронные письма теперь поступают во входящие почтовые ящики по всему миру, так как мошенники пытаются нажиться на нарушении (хотя необычным аспектом дела является то, что данные еще не были найдены ни на темной стороне Интернета, приводя к некоторым неосведомленным предположениям, что нарушение — немного больше чем тренировка связи с общественностью.)
Снимок экрана выше был снят в среду, 21 мая, в день, когда появились новости об утечке. Никаких предупреждений или советов не найти!
Некоторые другие вещи, которые вы должны рассмотреть. По состоянию на январь 2013 года в мире насчитывалось 112,3 миллиона активных пользователей; Говорят, что было украдено 145 миллионов записей. Это может привести к угону около 30 миллионов неиспользованных учетных записей — более чем достаточно, чтобы разрушить внутренние рейтинги и систему доверия eBay, если хакеры захотят. Доверие является ключом к бизнес-модели eBay, и без него его дни могут быть сочтены.
Затем есть просьба, чтобы люди изменили свои пароли. Сайт уже испытывал проблемы с производительностью после новостей о нарушении, когда пользователи стекались на eBay, чтобы начать менять пароли.
поэтому мы рекомендуем сменить наш пароль на eBay, потому что он был взломан … но я не могу из-за большого трафика. прохладно.
— Анжела (@CRiSPilyMEEE) 22 мая 2014 г.
@eBay_UK Сброс пароля не работает, мы не можем изменить пароли ни в одной из наших учетных записей, отправляет ссылку для сброса электронной почты, но продолжает цикл
— Tier 1 Online (@ tier1online) 22 мая 2014 г.
Это если пользователи могут даже найти опцию смены пароля (подсказка: нажмите Забыли пароль? кнопка для экономии времени).
Вопрос о финансовых данных. Безопасны ли данные вашей карты?
EBay настаивает на том, что никакие данные финансовой или кредитной карты не были скомпрометированы, только имена пользователей, пароли и адреса электронной почты.
Это попытка контроля ущерба, однако, чтобы минимизировать возмущение.
Скажем, вы хотели получить доступ к данным вашей карты eBay, что бы вы сделали? Войдите или, конечно, под своим именем пользователя и паролем. Хотя номер карты будет в значительной степени скрыт (за исключением последних четырех цифр), здесь имеется потенциально достаточно информации, чтобы дать хакеру то, что ему нужно, от даты истечения срока действия карты до подтверждения типа вашей карты, как часто вы ее использовали. Этой информации, безусловно, достаточно, чтобы выбрать человека в качестве цели, и при наличии перекрестных ссылок с другими учетными записями, возможно, больше.
Помните, что ваша личность в Интернете — это набор данных вашей физической личности. Каждый элемент — имя, дата рождения, адрес — похож на головоломку. Чем больше частей найдено, тем больше картина того, кто вы есть.
Что вы должны сделать, чтобы защитить ваши данные?
eBay заявил, что все его предприятия хранятся отдельно. Это означает, что данные PayPal полностью изолированы от данных eBay.
Однако, поскольку компании было неясно, как произошло нарушение и какие сотрудники были затронуты, нет никаких оснований принимать этот комментарий всерьез.
Поэтому мы рекомендуем вам сменить пароли eBay и PayPal. Убедитесь, что они отличаются и не совпадают с теми, которые используются для любых других учетных записей в Интернете. Кроме того, прислушайтесь к советам eBay и обращайтесь к другим учетным записям, которые используют тот же пароль. Наши советы по созданию безопасного пароля
должен помочь вам здесь. Вы также можете хранить их в безопасном сервисе или приложении, таком как LastPass.
В США PayPal предлагает систему двухфакторной аутентификации с использованием небольшого портативного инструмента для создания кода. Хотя может показаться, что для eBay подобной системы не существует, на самом деле вы можете воспользоваться ею для сайта аукциона после того, как зарегистрируетесь для устройства PayPal. Как вы можете видеть, внедрение и продвижение этих инструментов были плохими, но двухфакторная аутентификация является обязательной для любого онлайн-сервиса, который хранит любые данные о вас.
Помните, что это ваши данные, которые eBay признает потерянными. Ваше имя, адрес, номер телефона, день рождения … вы можете изменить свой пароль, но вы не можете изменить их.
Это нарушение губительно для eBay
Как указывалось ранее, мы считаем, что изменение ваших паролей и принятие двухфакторной аутентификации (где это возможно) для eBay и PayPal — это наилучший способ действий.
Однако, если учесть отсутствие информации о взломе, возможность внутренней атаки, отсутствие данных, выставляемых на продажу, потенциал для 30 миллионов учетных записей зомби, разрушающих рейтинг доверия продавца eBay, и его неспособность справиться с сбросом пароля Остается вопрос, который нужно задать. Вы действительно хотите стать участником веб-сайта, который обрабатывает пользовательские данные и нарушения безопасности таким образом?
Если вы думаете «но eBay — единственный достойный сайт аукциона!», То вы совершенно не правы, так как есть множество альтернатив, которые вы должны проверить
,
Тем не менее, мы рекомендуем вам серьезно подумать над этим вопросом. Это может не сохранить ваши украденные данные, но достаточное количество людей, голосующих ногами, даст другим компаниям повод действовать ответственно в этих ситуациях в будущем.
Вы получили письмо от eBay? Вы уже изменили свой пароль? Как вы относитесь к этому нарушению?
Дайте нам знать ваши мысли в комментариях.
Изображение предоставлено: wk1003mike через Shutterstock.com
