Veiligheid

De eBay-gegevensschending is wat u moet weten

De eBay-gegevensschending is wat u moet weten / Veiligheid

In wat een van de grootste inbreuken op gebruikersgegevens is, heeft eBay onthuld dat zijn servers in maart 2014 zijn gecompromitteerd. Afgezien van de bevestiging dat medewerkersaccounts zijn gecoöpteerd en adviseert eBay-accounthouders hun wachtwoord te wijzigen, onthult het niets anders.

Wat moet je doen? Is het genoeg om je wachtwoord te wijzigen, of moet je verder gaan? Wellicht strekken jouw zorgen zich uit tot andere eBay-bezorgservices, met name PayPal?

eBay legt uit wat er is gebeurd

In een blog post onder leiding “eBay Inc. om eBay-gebruikers te vragen om wachtwoorden te wijzigen” op woensdag 21 meist (na een eerdere lege blogpost die de beveiligingslek lekte, waardoor verschillende nieuwszenders de sprong op eBay konden maken) kondigde de veilinggigant aan dat

“... het zal eBay-gebruikers vragen hun wachtwoord te wijzigen vanwege een cyberaanval die een database met versleutelde wachtwoorden en andere niet-financiële gegevens in gevaar brengt.”

De post gaat verder met uitleggen hoe het bedrijf (vreemd genoeg in de derde persoon schreef, wat een gebrek aan acceptatie betekende) geen bewijs gevonden heeft dat financiële en creditcardinformatie is aangetast na de aanval, die plaatsvond tijdens “eind februari en begin maart”. Beveiligde informatie inbegrepen “Naam van de eBay-klant, gecodeerd wachtwoord, e-mailadres, fysiek adres, telefoonnummer en geboortedatum.”

EBay dringt erop aan dat het de zaak serieus neemt en momenteel is “Door samen te werken met rechtshandhavingsinstanties en toonaangevende beveiligingsdeskundigen, onderzoekt het bedrijf agressief de zaak en past het de beste forensische hulpmiddelen en praktijken toe om klanten te beschermen.”

Hoe werden uw eBay-gegevens aangetast?

Na ongeveer twee weken geleden de inbreuk op de beveiliging te hebben ontdekt, maakte eBay melding van “de aangetekende inloggegevens voor medewerkers” die de schuld hebben voor de inbraak. Een forensisch onderzoek dan “geïdentificeerd de gecompromitteerde eBay-database” waar persoonlijke gegevens - voor elke eBay-gebruiker - worden opgeslagen.

Misschien wilt u die laatste alinea opnieuw lezen.

Het is op dit moment onduidelijk hoe de eBay-werknemersaccounts zijn gecompromitteerd. Een suggestie is dat ze mogelijk in de fout zijn gegaan door een phishingaanval, waarbij een nep-e-mail is verzonden met het verzoek hen in te loggen en hun wachtwoord opnieuw in te stellen op een overtuigende website. Een alternatief - en dit zijn slechts speculaties zoals eBay met weinig details over deze schandelijke affaire is gekomen - is dat de schending mogelijk werd gemaakt door een interne aanval. Kan een medewerker deze inbraak hebben uitgevoerd??

Houd ook rekening met het aantal accounts: er zijn blijkbaar persoonlijke gegevens van 145 miljoen mensen gestolen. Als deze inbraak het gevolg was van het in gevaar brengen van werknemersaccounts, was er dan een persoon die toegang had tot alle 145 miljoen records?

De tijdlijn valt ondertussen samen met de Heartbleed-storm. Danger Bevestigd: Heartbleed gaat echt open Crypto-sleutels voor hackers Gevaar Bevestigd: Heartbleed opent echt Crypto-sleutels voor hackers Het debat is voorbij of de nieuwe kwetsbaarheid van OpenSSL Heartbleed kan worden aangewend om te verkrijgen persoonlijke coderingssleutels van kwetsbare servers en websites. Cloudflare heeft bevestigd dat privé-coderingssleutels gevaar lopen. Lees verder . In april stelde eBay de gebruikers gerust:

1) Je eBay-account is beveiligd

2) Je eBay-accountgegevens zijn in het verleden niet zichtbaar en blijven veilig

3) U hoeft geen aanvullende actie te ondernemen om uw informatie te beschermen

4) Het is niet nodig om uw wachtwoord te wijzigen

Ondertussen meldde Passomatic dat het opstarten van het wachtwoord veranderde “al zijn partners hebben de oplossing gevonden. Onder hen zijn eBay.”

Kon Heartbleed de weg naar eBay zijn geweest? Of meer gênant, zou de focus op de kwetsbaarheid van OpenSSL een zeer kostbare afleiding voor het online veilinghuis kunnen zijn??

Omgaan met de beveiligingsfout

Een van de meest relevante aspecten van deze zaak is de tijdlijn. Het lijkt opmerkelijk dat eBay de breuk niet eerder heeft ontdekt, wat kan duiden op een hackbewerking van een bepaalde vaardigheid (het zou evenzo kunnen betekenen dat eBay's databaseveiligheid niet geschikt is voor het beoogde doel).

Na de aankondiging heeft eBay dat beweerd “gebruikers worden via e-mail, sitecommunicatie en andere marketingkanalen op de hoogte gebracht om hun wachtwoord te wijzigen”. Tot nu toe zijn er echter geen meldingen dat e-mails zijn ontvangen en alleen sociale netwerken die mededelingen doen.

Wat u misschien niet weet over eBay, Inc. is dat het niet alleen de populaire online veilingsite www.ebay.com en zijn internationale varianten bezit, maar dat het ook eigenaar is van PayPal.

De unapologetic, beperkte details releases door eBay doen geen gunsten. Hoewel ze beweren dat hun andere bedrijven niet worden beïnvloed door deze schending, is het een feit dat, tenzij eBay kan bewijzen dat ze dit zeker weten, we deze bewering niet kunnen vertrouwen..

Omdat het realistisch is, is dit een inbreuk op de beveiliging van cataclysmische proporties. Het volume en de diepte van gegevens die van accounts zijn gestolen, zijn ongekend.

Om het nog erger te maken, phishing-e-mails komen nu overal in de wereld binnen omdat oplichters proberen de inbreuk te innen (hoewel een ongewoon aspect van de zaak is dat de gegevens nog niet aan de donkere kant van het internet zijn verschenen, wat leidt tot een aantal ongeïnformeerde speculaties dat de overtreding weinig meer is dan een PR-oefening.)

De schermdop hierboven werd genomen op woensdag 21 mei, de dag dat het nieuws over het lek brak. Geen waarschuwingen of advies te vinden!

Een aantal andere dingen die u zou moeten overwegen. Vanaf januari 2013 waren er wereldwijd 112,3 miljoen actieve gebruikers; 145 miljoen records zouden zijn gestolen. Dit laat het potentieel voor ongeveer 30 miljoen ongebruikte accounts om te worden gekaapt - meer dan genoeg om eBay's interne ratings en trustsysteem te vernietigen als de hackers dat zouden kiezen. Vertrouwen is de sleutel tot het bedrijfsmodel van eBay, en zonder dat, zouden de dagen kunnen worden geteld.

Dan is er de vraag voor mensen om hun wachtwoorden te veranderen. De site heeft al prestatieproblemen ondervonden na nieuws over de schending toen gebruikers massaal naar eBay kwamen om te beginnen met het wijzigen van wachtwoorden.

dus we worden geadviseerd om ons ebay-wachtwoord te wijzigen omdat het is gehackt ... maar toch kan ik niet vanwege veel verkeer. stoer.

- Angela (@CRiSPilyMEEE) 22 mei 2014

@eBay_NL wachtwoord resetten werkt niet we kunnen de wachtwoorden van een van onze accounts niet wijzigen, stuurt de email reset link maar blijft lussen

- Niveau 1 online (@ tier1online) 22 mei 2014

Dat is als gebruikers de optie Wachtwoord wijzigen zelfs kunnen vinden (hint: klik op de uw wachtwoord vergeten? knop om tijd te besparen).

De vraag over financiële gegevens: zijn uw kaartgegevens veilig??

EBay dringt erop aan dat er geen financiële of creditcardgegevens zijn aangetast, alleen gebruikersnamen, wachtwoorden en e-mailadressen.

Dit is echter een poging tot schadebeperking om woede te minimaliseren.

Stel dat je toegang wilt tot je eBay-kaartgegevens, wat zou je doen? Log in, of natuurlijk, met uw gebruikersnaam en wachtwoord. Hoewel het kaartnummer grotendeels onzichtbaar is (behalve de laatste vier cijfers), is er mogelijk voldoende informatie om een ​​hacker te geven wat hij nodig heeft, van de vervaldatum van de kaart tot de bevestiging van uw kaarttype, hoe vaak u het hebt gebruikt. Deze informatie is zeker voldoende om een ​​persoon eruit te pikken als doelwit, en als er wordt verwezen naar andere accounts, mogelijk meer.

Vergeet niet dat uw online identiteit in feite een gegevensset is van uw fysieke identiteit. Elk element - naam, geboortedatum, adres - is als een legpuzzel. Naarmate er meer stukjes worden gevonden, ontstaat er een groter beeld van wie je bent.

Wat u moet doen om uw gegevens te beschermen?

eBay heeft verklaard dat zijn bedrijven allemaal gescheiden worden gehouden. De implicatie hiervan zou moeten zijn dat PayPal-gegevens volledig geïsoleerd worden gehouden van eBay-gegevens.

Omdat het bedrijf echter onduidelijk was over de manier waarop de inbreuk heeft plaatsgevonden en welke werknemers zijn getroffen, is er geen reden om deze opmerking serieus te nemen..

We raden je aan om zowel je eBay- als je PayPal-wachtwoord te wijzigen. Zorg ervoor dat deze verschillend zijn en niet hetzelfde zijn als die voor andere online accounts. Volg bovendien het advies van eBay en richt andere online accounts die hetzelfde wachtwoord gebruiken. Onze tips voor het maken van een veilig wachtwoord 7 manieren om wachtwoorden te maken die beide veilig en onvergetelijk zijn 7 manieren om wachtwoorden op te maken die zowel veilig als gedenkwaardig zijn Een ander wachtwoord voor elke service is een must in de online wereld van vandaag, maar er is een verschrikkelijke zwakte voor willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich mogelijk herinneren ... Lees meer zou u hier moeten helpen. U kunt deze ook opslaan in een beveiligde service of app zoals LastPass.

In de VS biedt PayPal een tweeledig verificatiesysteem met behulp van een kleine handheldtool om een ​​code te maken. Hoewel het lijkt alsof er geen vergelijkbaar systeem is voor eBay, kun je er ook een krijgen voor de veilingsite nadat je je hebt aangemeld voor het PayPal-apparaat. De implementatie en promotie van deze hulpprogramma's was slecht, zoals u kunt zien, maar verificatie met twee factoren is een must voor elke online service die gegevens over u opslaat.

Vergeet niet dat dit jouw gegevens zijn die eBay toegeeft te hebben verloren. Uw naam, adres, telefoonnummer, geboortedatum ... u kunt uw wachtwoord wijzigen, maar u kunt ze niet wijzigen.

Deze schending is rampzalig voor eBay

Zoals eerder vermeld, zijn we van mening dat het wijzigen van uw wachtwoorden en het toepassen van tweefactorauthenticatie (indien beschikbaar) voor eBay en PayPal de beste manier is om actie te ondernemen.

Als we echter het gebrek aan informatie over de schending, de mogelijkheid van een interne aanval, het ontbreken van gegevens die te koop worden aangeboden, het potentieel voor 30 miljoen zombieaccounts beschouwen die de verkopersbeoordeling van eBay verkrachten en het onvermogen om met wachtwoordresets om te gaan , er blijft een vraag die moet worden gesteld. Wilt u echt lid worden van een website die gebruikersgegevens en beveiligingsinbreuken op deze manier behandelt??

Als je denkt “maar eBay is de enige fatsoenlijke veilingsite!” dan heb je het helemaal mis, want er zijn genoeg alternatieven die je moet controleren bij Fed Up With eBay? Hier zijn enkele waardige (en goedkopere) alternatieven voor verkopers die beu zijn met eBay? Hier zijn enkele waardige (en goedkopere) alternatieven voor verkopers Wanneer u uw overtollige rommel online wilt verkopen, waar wilt u naartoe? Voor de meeste mensen is het enige antwoord eBay. Met miljoenen dagelijkse gebruikers lijkt het alleen logisch om de ... Lees meer te gebruiken .

We moedigen u echter aan om deze kwestie serieus te overwegen. Uw gestolen gegevens worden mogelijk niet opgeslagen, maar genoeg mensen die met de voeten stemmen, zullen andere bedrijven in de toekomst verantwoordelijk laten handelen in deze situaties..

Heb je een e-mail van eBay ontvangen? Heb je je wachtwoord al veranderd? Hoe voel je je over deze schending??

Laat ons je mening weten in de reacties.

Image Credit: wk1003mike via Shutterstock.com

Ontdek meer over: eBay, online beveiliging, PayPal.