Что является одним из самых серьезных нарушений пользовательских данных, eBay обнаружил, что в марте 2014 года его серверы были взломаны. Помимо подтверждения того, что учетные записи сотрудников были использованы совместно, а также советов держателям учетных записей eBay сменить свои пароли, ничего больше не раскрывается.
Итак, что нужно сделать? Достаточно ли изменить пароль или идти дальше? Возможно, ваши опасения распространяются и на другие услуги, принадлежащие eBay, в первую очередь на PayPal?
eBay объясняет, что случилось
В своем блоге, озаглавленном « eBay Inc., чтобы попросить пользователей eBay сменить пароли » в среду 21 мая (после более раннего пустого сообщения в блоге, в котором просочилась информация о бреши в системе безопасности, позволив нескольким новостным каналам получить доступ к eBay), объявил гигант аукциона. что
«… Он будет просить пользователей eBay изменить свои пароли из-за кибератаки, которая скомпрометировала базу данных, содержащую зашифрованные пароли и другие нефинансовые данные».
Далее в сообщении объясняется, как компания (как ни странно, пишет от третьего лица, что указывает на непринятие) не обнаружила никаких доказательств того, что информация о финансовых и кредитных картах была скомпрометирована после атаки, имевшей место в конце февраля — начале марта. ». Компрометированная информация включала «имя клиента eBay, зашифрованный пароль, адрес электронной почты, физический адрес, номер телефона и дату рождения».
EBay настаивает на том, что он серьезно относится к этому вопросу и в настоящее время «работая с правоохранительными органами и ведущими экспертами в области безопасности, компания активно расследует этот вопрос и применяет лучшие инструменты и методы судебной экспертизы для защиты клиентов».
Как были подвергнуты риску данные вашего eBay?
Обнаружив брешь в системе безопасности около двух недель назад, eBay упомянул «скомпрометированные учетные данные для входа сотрудников», которые виноваты во вторжении. Затем судебно-медицинская экспертиза «определила скомпрометированную базу данных eBay», где хранятся персональные данные — для каждого пользователя eBay.
Вы можете перечитать последний абзац.
На данный момент неясно, как именно скомпрометированы учетные записи сотрудников eBay. Одно из предположений состоит в том, что они, возможно, потерпели неудачу от фишинг-атаки, когда им было отправлено поддельное электронное письмо с просьбой войти в систему и сбросить пароль на убедительно выглядящем веб-сайте. Альтернатива — а это всего лишь предположение, так как eBay выдвигает мало подробностей об этом позорном деле, — это то, что нарушение стало возможным благодаря внутренней атаке. Мог ли сотрудник провести этот перерыв?
Также рассмотрим количество аккаунтов: персональные данные 145 миллионов человек, очевидно, были похищены. Если это вторжение было результатом взлома учетных записей сотрудников, был ли единственный человек, который имел доступ ко всем 145 миллионам записей?
Временная шкала, тем временем, совпадает с шторма Heartbleed В апреле eBay успокоил пользователей:
1) Ваша учетная запись на eBay безопасна
2) Ваши данные учетной записи eBay не были раскрыты в прошлом и остаются в безопасности
3) Вам не нужно предпринимать никаких дополнительных действий для защиты вашей информации
4) Нет необходимости менять пароль
Между тем, служба смены пароля при запуске Passomatic сообщила, что «все ее партнеры сделали это. Среди них — eBay ».
Могла ли Heartbleed стать путеводителем по eBay? Или, что более неприятно, может ли оказаться, что фокус на уязвимости OpenSSL стал очень дорогостоящим отвлечением для онлайн-аукциона?
Работа с брешей в безопасности
Одним из наиболее важных аспектов этого дела является временная шкала. Кажется удивительным, что eBay не обнаружил нарушение раньше, что может указывать на операцию взлома определенного навыка (в равной степени это может означать, что безопасность базы данных eBay не подходит для этой цели).
После объявления eBay заявил, что «пользователи будут уведомлены по электронной почте, через сайт и другие маркетинговые каналы об изменении своего пароля». Однако до сих пор не было сообщений о получении электронных писем, и только социальные сети выпускали уведомления.
Что вы можете не знать о eBay, Inc., так это то, что она не только владеет популярным сайтом онлайн-аукционов www.ebay.com и его международными версиями, но также владеет PayPal.
Оскорбительные, ограниченные детали релизов eBay не оказывают им никакой пользы. Хотя они утверждают, что это нарушение не затронуло их другие предприятия, факт заключается в том, что, если eBay не докажет, что знает это наверняка, мы не сможем доверять этому утверждению.
Будучи реалистичным, это нарушение безопасности катастрофических пропорций. Объем и глубина данных, похищенных со счетов, беспрецедентны.
Что еще хуже, фишинговые электронные письма теперь поступают во входящие почтовые ящики по всему миру, так как мошенники пытаются нажиться на нарушении (хотя необычным аспектом в этом случае является то, что данные еще не были найдены ни на темной стороне Интернета, приводя к некоторым неосведомленным предположениям, что нарушение — немного больше чем тренировка связи с общественностью.)
Снимок экрана выше был снят в среду, 21 мая, в день, когда появились новости об утечке. Никаких предупреждений или советов не найти!
Некоторые другие вещи, которые вы должны рассмотреть. По состоянию на январь 2013 года в мире насчитывалось 112,3 миллиона активных пользователей; Говорят, что было украдено 145 миллионов записей. Это может привести к краже около 30 миллионов неиспользованных учетных записей — более чем достаточно, чтобы разрушить внутренние рейтинги и систему доверия eBay, если хакеры захотят. Доверие является ключом к бизнес-модели eBay, и без него его дни могут быть сочтены.
Тогда есть просьба, чтобы люди изменили свои пароли. Сайт уже испытывал проблемы с производительностью после новостей о взломе, когда пользователи стекались на eBay, чтобы начать менять пароли.
поэтому мы рекомендуем изменить наш пароль на eBay, потому что он был взломан … но я не могу из-за большого трафика. прохладный.
— Анжела (@CRiSPilyMEEE) 22 мая 2014 г.
В этом случае пользователи могут даже найти опцию смены пароля (подсказка: нажмите кнопку забыли пароль?, Чтобы сэкономить время).
Вопрос о финансовых данных. Безопасны ли данные вашей карты?
EBay настаивает на том, что никакие данные финансовых или кредитных карт не были скомпрометированы, только имена пользователей, пароли и адреса электронной почты.
Это попытка контроля ущерба, однако, чтобы минимизировать возмущение.
Скажем, вы хотели получить доступ к данным вашей карты eBay, что бы вы сделали? Войдите или, конечно, под своим именем пользователя и паролем. Хотя номер карты будет в значительной степени скрыт (за исключением последних четырех цифр), здесь имеется потенциально достаточно информации, чтобы дать хакеру то, что ему нужно, от даты истечения срока действия карты до подтверждения типа вашей карты, как часто вы ее использовали. Этой информации, безусловно, достаточно, чтобы выбрать человека в качестве цели, и при наличии перекрестных ссылок с другими учетными записями, возможно, больше.
Помните, что ваша личность в Интернете — это набор данных вашей физической личности. Каждый элемент — имя, дата рождения, адрес — похож на головоломку. Чем больше частей найдено, тем больше картина того, кто вы есть.
Что вы должны сделать, чтобы защитить ваши данные?
eBay заявил, что все его предприятия хранятся отдельно. Это должно означать, что данные PayPal полностью изолированы от данных eBay.
Однако, поскольку компании было неясно, как произошло нарушение и какие сотрудники были затронуты, нет никаких оснований принимать этот комментарий всерьез.
Поэтому мы рекомендуем вам сменить пароли eBay и PayPal. Убедитесь, что они отличаются и не совпадают с теми, которые используются для любых других учетных записей в Интернете. Кроме того, прислушайтесь к советам eBay и обратитесь к другим учетным записям, которые используют тот же пароль. Наши советы по созданию надежного пароля создания паролей создания должно помочь вам здесь. Вы также можете хранить их в безопасном сервисе или приложении, таком как LastPass.
В США PayPal предлагает систему двухфакторной аутентификации, использующую небольшой ручной инструмент для создания кода. Хотя может показаться, что для eBay подобной системы не существует, на самом деле вы можете получить ее для сайта аукциона после того, как зарегистрируетесь для устройства PayPal. Как вы можете видеть, внедрение и продвижение этих инструментов были плохими, но двухфакторная аутентификация является обязательной для любого онлайн-сервиса, который хранит любые данные о вас.
Помните, что это ваши данные, которые eBay признает потерянными. Ваше имя, адрес, номер телефона, день рождения … вы можете изменить свой пароль, но вы не можете изменить их.
Это нарушение губительно для eBay
Как указывалось ранее, мы считаем, что изменение ваших паролей и принятие двухфакторной аутентификации (где это возможно) для eBay и PayPal — это наилучший способ действий.
Однако, если учесть отсутствие информации о взломе, возможность внутренней атаки, отсутствие данных, выставляемых на продажу, потенциал для 30 миллионов учетных записей зомби, разрушающих рейтинг доверия продавца eBay, и его неспособность справиться со сбросом пароля Остается вопрос, который нужно задать. Вы действительно хотите стать участником веб-сайта, который обрабатывает пользовательские данные и нарушения безопасности таким образом?
Если вы думаете «но eBay — единственный достойный сайт аукциона!», То вы совершенно не правы, так как есть много альтернатив, которые вы должны проверить .
Тем не менее, мы рекомендуем вам серьезно подумать над этим вопросом. Это может не сохранить ваши украденные данные, но достаточное количество людей, голосующих ногами, даст другим компаниям повод действовать ответственно в этих ситуациях в будущем.
Вы получили письмо от eBay? Вы уже изменили свой пароль? Как вы относитесь к этому нарушению?
Дайте нам знать ваши мысли в комментариях.
Изображение предоставлено: wk1003mike через Shutterstock.com