Безопасность Нарушение данных на eBay Что нужно знать

Нарушение данных на eBay Что нужно знать

  • Peter Holmes
  • 0
  • 4584
  • 296
Реклама

Что является одним из самых серьезных нарушений пользовательских данных, eBay обнаружил, что в марте 2014 года его серверы были взломаны. Помимо подтверждения того, что учетные записи сотрудников были использованы совместно, а также рекомендации владельцам учетных записей eBay сменить свои пароли, ничего более показательного.

Итак, что нужно делать? Достаточно ли изменить пароль или идти дальше? Возможно, ваши опасения распространяются на другие услуги, принадлежащие eBay, в частности PayPal?

eBay объясняет, что случилось

В блоге написано “eBay Inc. просит пользователей eBay сменить пароли” в среду 21 маяулица (после более раннего пустого сообщения в блоге, в котором просочилась информация о нарушении безопасности, что позволило нескольким новостным каналам получить доступ к eBay), гигант аукциона объявил, что

“... он будет просить пользователей eBay изменить свои пароли из-за кибератаки, которая скомпрометировала базу данных, содержащую зашифрованные пароли и другие нефинансовые данные.”

Пост продолжает объяснять, как компания (странным образом написавшая от третьего лица, указывающая на непринятие) не нашла никаких доказательств того, что информация о финансовой и кредитной карте была скомпрометирована после атаки, которая произошла во время “конец февраля и начало марта”. Компрометированная информация включена “Имя клиента eBay, зашифрованный пароль, адрес электронной почты, физический адрес, номер телефона и дата рождения.”

EBay настаивает на том, что серьезно относится к этому вопросу и в настоящее время “Работая с правоохранительными органами и ведущими экспертами в области безопасности, компания активно расследует этот вопрос и применяет лучшие инструменты и методы судебной экспертизы для защиты клиентов..”

Как были подвергнуты риску данные вашего eBay??

Обнаружив нарушение безопасности около двух недель назад, eBay упомянул о “скомпрометированные учетные данные для входа сотрудника” которые виноваты в вторжении. Судебное расследование тогда “выявила скомпрометированную базу данных eBay” где хранятся персональные данные - для каждого пользователя eBay.

Вы можете перечитать последний абзац.

На данный момент неясно, как именно скомпрометированы учетные записи сотрудников eBay. Одно из предположений состоит в том, что они, возможно, потерпели неудачу от фишинг-атаки, когда им было отправлено поддельное электронное письмо с просьбой войти в систему и сбросить пароль на убедительно выглядящем веб-сайте. Альтернатива - а это всего лишь предположение, так как eBay выдвигает мало подробностей об этом позорном деле, - это то, что нарушение стало возможным благодаря внутренней атаке. Мог ли сотрудник провести этот перерыв в?

Также рассмотрим количество аккаунтов: персональные данные 145 миллионов человек, очевидно, были похищены. Если это вторжение было результатом взлома учетных записей сотрудников, был ли один человек, который имел доступ ко всем 145 миллионам записей?

Временная шкала, тем временем, совпадает с подтвержденной угрозой шторма Heartbleed: Heartbleed действительно открывает криптографические ключи для хакеров Опасность подтверждена: Heartbleed действительно открывает криптографические ключи для хакеров Споры закончились относительно того, можно ли использовать новую уязвимость OpenSSL Heartbleed для получения закрытые ключи шифрования от уязвимых серверов и сайтов. Cloudflare подтвердил, что частные ключи шифрования находятся под угрозой. , В апреле eBay успокоил пользователей:

1) Ваша учетная запись на eBay безопасна

2) Ваши данные учетной записи eBay не были раскрыты в прошлом и остаются в безопасности

3) Вам не нужно предпринимать никаких дополнительных действий для защиты вашей информации

4) Нет необходимости менять пароль

Тем временем служба смены пароля при запуске Passomatic сообщила, что “все его партнеры сделали исправление. Среди них eBay.”

Могла ли Heartbleed стать путеводителем по eBay? Или, что более неприятно, может ли фокус на уязвимости OpenSSL оказаться очень дорогостоящим отвлечением для онлайн-аукциона??

Работа с брешей в безопасности

Одним из наиболее важных аспектов этого дела является временная шкала. Кажется удивительным, что eBay не обнаружил нарушение раньше, что может указывать на операцию взлома определенного навыка (в равной степени это может означать, что безопасность базы данных eBay не подходит для этой цели).

После объявления eBay заявил, что “пользователи будут уведомлены по электронной почте, через сайт и по другим каналам маркетинга об изменении пароля”. Однако до сих пор не было сообщений о получении электронных писем, и только социальные сети выпускали уведомления.

Что вы можете не знать о eBay, Inc., так это то, что она не только владеет популярным сайтом онлайн-аукционов www.ebay.com и его международными версиями, но также владеет PayPal..

Оскорбительные, ограниченные детали релизов eBay не оказывают им никакой пользы. Хотя они утверждают, что это нарушение не затронуло их другие предприятия, факт заключается в том, что если eBay не докажет, что знает это наверняка, мы не сможем доверять этому утверждению.

Будучи реалистичным, это нарушение безопасности катастрофических пропорций. Объем и глубина данных, украденных из учетных записей, является беспрецедентным.

Что еще хуже, фишинговые электронные письма теперь поступают во входящие почтовые ящики по всему миру, так как мошенники пытаются нажиться на нарушении (хотя необычным аспектом дела является то, что данные еще не были найдены ни на темной стороне Интернета, приводя к некоторым неосведомленным предположениям, что нарушение - немного больше чем тренировка связи с общественностью.)

Снимок экрана выше был снят в среду, 21 мая, в день, когда появились новости об утечке. Никаких предупреждений или советов не найти!

Некоторые другие вещи, которые вы должны рассмотреть. По состоянию на январь 2013 года в мире насчитывалось 112,3 миллиона активных пользователей; Говорят, что было украдено 145 миллионов записей. Это может привести к краже около 30 миллионов неиспользованных учетных записей - более чем достаточно, чтобы разрушить внутренние рейтинги и систему доверия eBay, если хакеры захотят. Доверие является ключом к бизнес-модели eBay, и без него его дни могут быть сочтены.

Тогда есть просьба, чтобы люди изменили свои пароли. Сайт уже испытывал проблемы с производительностью после новостей о нарушении, когда пользователи перешли на eBay, чтобы начать менять пароли.

поэтому мы рекомендуем изменить наш пароль на eBay, потому что он был взломан ... но я не могу из-за большого трафика. прохладно.

- Анжела (@CRiSPilyMEEE) 22 мая 2014 г.

@eBay_UK Сброс пароля не работает, мы не можем изменить пароли ни в одной из наших учетных записей, отправляет ссылку для сброса электронной почты, но продолжает цикл

- Уровень 1 онлайн (@ tier1online) 22 мая 2014 г.

Это если пользователи могут даже найти опцию смены пароля (подсказка: нажмите Забыли пароль? кнопка для экономии времени).

Вопрос о финансовых данных: безопасны ли данные вашей карты??

EBay настаивает на том, что никакие данные финансовой или кредитной карты не были скомпрометированы, только имена пользователей, пароли и адреса электронной почты.

Это попытка контроля ущерба, однако, чтобы минимизировать возмущение.

Скажем, вы хотели получить доступ к данным вашей карты eBay, что бы вы сделали? Войдите или, конечно, под своим именем пользователя и паролем. Хотя номер карты будет в значительной степени скрыт (за исключением последних четырех цифр), здесь имеется потенциально достаточно информации, чтобы дать хакеру то, что ему нужно, от даты истечения срока действия карты до подтверждения типа вашей карты, как часто вы ее использовали. Этой информации, безусловно, достаточно, чтобы выбрать человека в качестве цели, и при перекрестной ссылке с другими учетными записями, возможно, больше.

Помните, что ваша личность в Интернете - это набор данных вашей физической личности. Каждый элемент - имя, дата рождения, адрес - похож на головоломку. Чем больше деталей найдено, тем больше картина того, кто вы есть..

Что вы должны сделать, чтобы защитить ваши данные?

eBay заявил, что все его предприятия хранятся отдельно. Это означает, что данные PayPal полностью изолированы от данных eBay..

Тем не менее, поскольку компании было неясно, как произошло нарушение и какие сотрудники были затронуты, нет оснований воспринимать этот комментарий всерьез..

Поэтому мы рекомендуем вам сменить пароли eBay и PayPal. Убедитесь, что они отличаются и не совпадают с теми, которые используются для любых других учетных записей в Интернете. Кроме того, прислушайтесь к советам eBay и обратитесь к другим учетным записям, которые используют тот же пароль. Наши советы по созданию надежного пароля 7 способов создания безопасных и запоминающихся паролей 7 способов создания безопасных и запоминающихся паролей Наличие разного пароля для каждой службы является обязательным условием в современном онлайн-мире, но это ужасно Слабость случайно сгенерированных паролей: невозможно запомнить их все. Но как ты можешь помнить ... должен помочь тебе здесь. Вы также можете хранить их в безопасном сервисе или приложении, таком как LastPass.

В США PayPal предлагает систему двухфакторной аутентификации, использующую небольшой ручной инструмент для создания кода. Хотя может показаться, что для eBay подобной системы не существует, на самом деле вы можете получить ее для сайта аукциона после того, как зарегистрируетесь для устройства PayPal. Как вы видите, внедрение и продвижение этих инструментов были плохими, но двухфакторная аутентификация является обязательной для любого онлайн-сервиса, который хранит любые данные о вас..

Помните, что это ваши данные, которые eBay признает потерянными. Ваше имя, адрес, номер телефона, день рождения ... вы можете изменить свой пароль, но вы не можете изменить их.

Это нарушение губительно для eBay

Как указывалось ранее, мы считаем, что изменение ваших паролей и принятие двухфакторной аутентификации (где доступно) для eBay и PayPal - это лучший способ действий.

Однако, если учесть отсутствие информации о взломе, возможность внутренней атаки, отсутствие данных, выставляемых на продажу, потенциал для 30 миллионов учетных записей зомби, разрушающих рейтинг доверия продавца eBay, и его неспособность справиться со сбросом пароля Остается вопрос, который нужно задать. Вы действительно хотите стать участником веб-сайта, который обрабатывает пользовательские данные и нарушения безопасности таким образом??

Если вы думаете “но eBay - единственный достойный аукцион!” тогда вы совершенно не правы, так как есть много альтернатив, которые вы должны проверить Fed Up с eBay? Вот некоторые достойные (и более дешевые) альтернативы для продавцов, сытых по горло eBay? Вот некоторые достойные (и более дешевые) альтернативы для продавцов Когда вы хотите продать свой лишний мусор в Интернете, куда вы идете? Для большинства людей единственным ответом является eBay. С миллионами пользователей ежедневно кажется логичным использовать… .

Тем не менее, мы рекомендуем вам серьезно подумать над этим вопросом. Это может не сохранить ваши украденные данные, но достаточное количество людей, голосующих ногами, даст другим компаниям повод действовать ответственно в этих ситуациях в будущем..

Вы получили письмо от eBay? Вы уже изменили свой пароль? Как вы относитесь к этому нарушению?

Дайте нам знать ваши мысли в комментариях.

Изображение предоставлено: wk1003mike через Shutterstock.com




Карты мышления были скучными? 7 креативных Google Maps Mashups доказывают, что вы не правы
интернет
Эволюция подкаста - как родилась среда [Geek History]
интернет
Измените свое мнение 8 действительно вдохновляющих сайтов для ваших дней и жизни
интернет
О современных технологиях, просто и доступно.
Ваш гид в мире современных технологий. Узнайте как использовать технологии и гаджеты, которые нас окружают каждый день и научитесь открывать интересные вещи в Интернете.