In wat een van de grootste inbreuken op gebruikersgegevens is, heeft eBay onthuld dat zijn servers in maart 2014 zijn gecompromitteerd. Afgezien van de bevestiging dat medewerkersaccounts werden gecoöpteerd en adviseerden eBay-accounthouders hun wachtwoord te wijzigen, onthult dit niets anders.
Wat moet je doen? Is het genoeg om je wachtwoord te wijzigen, of moet je verder gaan? Misschien zijn uw zorgen ook van toepassing op andere eBay-services, met name PayPal?
eBay legt uit wat er is gebeurd
In een blogpost met de titel "eBay Inc. om te vragen aan gebruikers van eBay om wachtwoorden te wijzigen" op woensdag 21 mei (na een eerdere lege blogpost die de beveiligingslek lekte, waardoor verschillende nieuwszenders de sprong op eBay konden maken) maakte de veiling gigant bekend dat
"... het zal eBay-gebruikers vragen hun wachtwoord te wijzigen vanwege een cyberaanval die een database met versleutelde wachtwoorden en andere niet-financiële gegevens in gevaar brengt."
De post gaat verder met uitleggen hoe het bedrijf (vreemd genoeg in de derde persoon schreef, wat een gebrek aan acceptatie betekende) geen bewijs gevonden heeft dat financiële en creditcardinformatie is aangetast na de aanval, die plaatsvond tijdens "eind februari en begin maart ”. Gecompromitteerde informatie was onder meer de naam van de eBay-klant, het versleutelde wachtwoord, het e-mailadres, het fysieke adres, het telefoonnummer en de geboortedatum.
EBay dringt erop aan dat het de zaak serieus neemt en momenteel werkt "Het werkt met wetshandhavingsinstanties en toonaangevende beveiligingsdeskundigen, het bedrijf onderzoekt agressief de zaak en past de beste forensische hulpmiddelen en praktijken toe om klanten te beschermen."
Hoe zijn uw eBay-gegevens beschadigd?
Na ongeveer twee weken geleden de inbreuk op de beveiliging te hebben vastgesteld, maakte eBay melding van 'de aangetaste inloggegevens van medewerkers' die de oorzaak zijn van de inbraak. Een forensisch onderzoek "identificeerde vervolgens de gecompromitteerde eBay-database" waarin persoonlijke gegevens - voor elke eBay-gebruiker - worden opgeslagen.
Misschien wilt u die laatste alinea opnieuw lezen.
Het is op dit moment onduidelijk hoe de eBay-werknemersaccounts zijn gecompromitteerd. Een suggestie is dat ze mogelijk in de fout zijn gegaan door een phishingaanval, waarbij een nep-e-mail is verzonden met het verzoek hen in te loggen en hun wachtwoord opnieuw in te stellen op een overtuigende website. Een alternatief - en dit zijn maar speculaties zoals eBay met weinig details over deze schandelijke affaire is gebeurd - is dat de schending mogelijk werd gemaakt door een interne aanval. Kan een medewerker deze inbraak hebben uitgevoerd?
Houd ook rekening met het aantal accounts: er zijn blijkbaar persoonlijke gegevens van 145 miljoen mensen gestolen. Als deze inbraak het gevolg was van het in gevaar brengen van werknemersaccounts, was er dan een persoon die toegang had tot alle 145 miljoen records?
De tijdlijn valt ondertussen samen met de Heartbleed-storm. Danger Bevestigd: Heartbleed gaat echt open Crypto-sleutels voor hackers Gevaar Bevestigd: Heartbleed opent echt Crypto-sleutels voor hackers Het debat is voorbij of de nieuwe kwetsbaarheid van OpenSSL Heartbleed kan worden aangewend om te verkrijgen persoonlijke coderingssleutels van kwetsbare servers en websites. Cloudflare heeft bevestigd dat privé-coderingssleutels gevaar lopen. Lees verder . In april stelde eBay de gebruikers gerust:
1) Je eBay-account is beveiligd
2) Je eBay-accountgegevens zijn in het verleden niet zichtbaar en blijven veilig
3) U hoeft geen aanvullende actie te ondernemen om uw informatie te beschermen
4) Het is niet nodig om uw wachtwoord te wijzigen
Ondertussen meldde Passomatic dat het opstarten van het wachtwoord veranderde: "al zijn partners hebben de oplossing gevonden. Onder hen zijn eBay. "
Kon Heartbleed de weg naar eBay zijn geweest? Of meer gênant: kan de aandacht voor de kwetsbaarheid van OpenSSL een zeer dure afleiding voor het online veilinghuis blijken te zijn?
Omgaan met de beveiligingsfout
Een van de meest zorgwekkende aspecten van deze zaak is de tijdlijn. Het lijkt opmerkelijk dat eBay de breuk niet eerder heeft ontdekt, wat kan duiden op een hackbewerking van een bepaalde vaardigheid (evenzo zou het kunnen betekenen dat de databasebeveiliging van eBay niet geschikt is voor het doel).
Na de aankondiging beweerde eBay dat "gebruikers via e-mail, sitecommunicatie en andere marketingkanalen op de hoogte worden gebracht om hun wachtwoord te wijzigen". Tot nu toe zijn er echter geen meldingen dat e-mails zijn ontvangen en alleen sociale netwerken die mededelingen doen.
Wat je misschien niet weet over eBay, Inc. is dat het niet alleen de populaire online veilingsite www.ebay.com en zijn internationale varianten bezit, maar dat het ook eigenaar is van PayPal.
De unapologetic, beperkte details releases door eBay doen geen gunsten. Hoewel ze beweren dat hun andere bedrijven niet worden beïnvloed door deze schending, is het een feit dat, tenzij eBay kan bewijzen dat ze dit zeker weten, we deze uitspraak absoluut niet kunnen vertrouwen.
Omdat het realistisch is, is dit een inbreuk op de beveiliging van cataclysmische proporties. Het volume en de diepte van gegevens die van accounts zijn gestolen, zijn ongekend.
Om het nog erger te maken, phishing-e-mails komen nu overal ter wereld in de bus omdat oplichters de inbreuk proberen te verzilveren (hoewel een ongewoon aspect van de zaak is dat de gegevens nog niet aan de donkere kant van het internet zijn verschenen, wat leidt tot een aantal ongeïnformeerde speculaties dat de overtreding weinig meer is dan een PR-oefening.)
De schermdop hierboven werd genomen op woensdag 21 mei, de dag dat het nieuws over het lek brak. Geen waarschuwingen of advies te vinden!
Een aantal andere dingen die u zou moeten overwegen. Vanaf januari 2013 waren er wereldwijd 112, 3 miljoen actieve gebruikers; 145 miljoen records zouden zijn gestolen. Dit laat het potentieel voor ongeveer 30 miljoen ongebruikte accounts om te worden gekaapt - meer dan genoeg om eBay's interne ratings en trustsysteem te vernietigen als de hackers dat zouden kiezen. Vertrouwen is de sleutel tot het bedrijfsmodel van eBay, en zonder dat, zouden de dagen kunnen worden geteld.
Dan is er de vraag voor mensen om hun wachtwoorden te veranderen. De site heeft al prestatieproblemen ondervonden na nieuws over de schending toen gebruikers massaal naar eBay kwamen om te beginnen met het wijzigen van wachtwoorden.
dus we worden geadviseerd om ons ebay-wachtwoord te wijzigen omdat het is gehackt ... maar toch kan ik niet vanwege veel verkeer. koel.
- Angela (@CRiSPilyMEEE) 22 mei 2014
@eBay_NL wachtwoord resetten werkt niet we kunnen de wachtwoorden van een van onze accounts niet veranderen, stuurt de email reset link maar blijft lussen
- Tier 1 online (@ tier1online) 22 mei 2014
Dat is als gebruikers zelfs de optie voor het wijzigen van het wachtwoord kunnen vinden (tip: klik op de knop ' wachtwoord vergeten' om tijd te besparen).
Hoe verander je in vredesnaam je eBay-wachtwoord? De gebruikersinterface is afschuwelijk. Ping @stilgherrian
- Justin Warren (@jpwarren) 21 mei 2014
De vraag over financiële gegevens: zijn uw kaartgegevens veilig?
EBay dringt erop aan dat er geen financiële of creditcardgegevens zijn aangetast, alleen gebruikersnamen, wachtwoorden en e-mailadressen.
Dit is echter een poging tot schadebeperking om woede te minimaliseren.
Stel dat je toegang wilt tot je eBay-kaartgegevens, wat zou je doen? Log in, of natuurlijk, met uw gebruikersnaam en wachtwoord. Hoewel het kaartnummer grotendeels onzichtbaar is (behalve de laatste vier cijfers), is er mogelijk voldoende informatie om een hacker te geven wat hij nodig heeft, van de vervaldatum van de kaart tot de bevestiging van uw kaarttype, hoe vaak u het hebt gebruikt. Deze informatie is zeker voldoende om een persoon eruit te pikken als doelwit, en als er wordt verwezen naar andere accounts, mogelijk meer.
Vergeet niet dat uw online identiteit in feite een gegevensset is van uw fysieke identiteit. Elk element - naam, geboortedatum, adres - is als een legpuzzel. Naarmate er meer stukjes worden gevonden, ontstaat er een groter beeld van wie je bent.
Wat u moet doen om uw gegevens te beschermen?
eBay heeft verklaard dat zijn bedrijven allemaal gescheiden worden gehouden. De implicatie hiervan zou moeten zijn dat PayPal-gegevens volledig geïsoleerd worden gehouden van eBay-gegevens.
Aangezien het bedrijf onduidelijk is geweest over de manier waarop de inbreuk heeft plaatsgevonden en welke werknemers zijn getroffen, is er geen reden om deze opmerking serieus te nemen.
We raden je aan om zowel je eBay- als je PayPal-wachtwoord te wijzigen. Zorg ervoor dat deze verschillend zijn en niet hetzelfde zijn als die voor andere online accounts. Volg bovendien het advies van eBay en richt andere online accounts die hetzelfde wachtwoord gebruiken. Onze tips voor het maken van een veilig wachtwoord 7 manieren om wachtwoorden te maken die beide veilig en onvergetelijk zijn 7 manieren om wachtwoorden op te maken die zowel veilig als onvergetelijk zijn Een ander wachtwoord voor elke service is een must in de online wereld van vandaag, maar er is een verschrikkelijke zwakte voor willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich mogelijk herinneren ... Lees meer zou u hier moeten helpen. U kunt deze ook opslaan in een beveiligde service of app zoals LastPass.
In de VS biedt PayPal een tweeledig verificatiesysteem met behulp van een kleine handheldtool om een code te maken. Hoewel het lijkt alsof er geen vergelijkbaar systeem is voor eBay, kun je er ook een krijgen voor de veilingsite nadat je je hebt aangemeld voor het PayPal-apparaat. De implementatie en promotie van deze hulpprogramma's was slecht, zoals u kunt zien, maar verificatie met twee factoren is een must voor elke online service die gegevens over u opslaat.
Vergeet niet dat dit jouw gegevens zijn die eBay toegeeft te hebben verloren. Uw naam, adres, telefoonnummer, geboortedatum ... u kunt uw wachtwoord wijzigen, maar u kunt ze niet wijzigen.
Deze schending is rampzalig voor eBay
Zoals eerder vermeld, zijn we van mening dat het wijzigen van uw wachtwoorden en het toepassen van tweefactorauthenticatie (indien beschikbaar) voor eBay en PayPal de beste manier is om actie te ondernemen.
Als we echter het gebrek aan informatie over de schending, de mogelijkheid van een interne aanval, het ontbreken van gegevens die te koop worden aangeboden, het potentieel voor 30 miljoen zombieaccounts beschouwen die de verkopersbeoordeling van eBay verkrachten en het onvermogen om met wachtwoordresets om te gaan, er blijft een vraag die moet worden gesteld. Wilt u echt lid worden van een website die gebruikersgegevens en beveiligingsinbreuken op deze manier behandelt?
Als je denkt "maar eBay is de enige fatsoenlijke veilingsite!" Dan heb je het helemaal mis, want er zijn genoeg alternatieven die je moet controleren bij Fed Up With eBay? Hier zijn enkele waardige (en goedkopere) alternatieven voor verkopers die beu zijn met eBay? Hier zijn enkele waardevolle (en goedkopere) alternatieven voor verkopers Wanneer u uw overtollige rommel online wilt verkopen, waar wilt u naartoe? Voor de meeste mensen is het enige antwoord eBay. Met miljoenen dagelijkse gebruikers lijkt het alleen logisch om de ... Lees meer te gebruiken.
We moedigen u echter aan om deze kwestie serieus te overwegen. Uw gestolen gegevens worden mogelijk niet opgeslagen, maar genoeg mensen die met hun voeten stemmen, zullen andere bedrijven in de toekomst verantwoordelijk laten handelen in deze situaties.
Heb je een e-mail van eBay ontvangen? Heb je je wachtwoord al veranderd? Wat vind je van deze overtreding?
Laat ons je mening weten in de reacties.
Image Credit: wk1003mike via Shutterstock.com