In wat een van de grootste inbreuken op gebruikersgegevens tot nu toe is, heeft eBay onthuld dat in maart 2014 zijn servers zijn gecompromitteerd. Afgezien van de bevestiging dat personeelsaccounts zijn gecoöpteerd en het adviseren van eBay-accounthouders om hun wachtwoord te wijzigen, onthult het niets anders.

Dus, wat moet je doen? Is het wijzigen van uw wachtwoord voldoende, of moet u verder gaan? Misschien strekken uw zorgen zich uit tot andere diensten die eigendom zijn van eBay, met name PayPal?

eBay legt uit wat er is gebeurd

In een blogpost met de titel “eBay Inc. om eBay-gebruikers te vragen wachtwoorden te wijzigen” op woensdag 21 meist (na een eerdere lege blogpost die de beveiligingsinbreuk lekte, waardoor verschillende nieuwsuitzendingen de sprong op eBay konden maken) kondigde de veilinggigant aan dat

“… het zal eBay-gebruikers vragen hun wachtwoord te wijzigen vanwege een cyberaanval waarbij een database met versleutelde wachtwoorden en andere niet-financiële gegevens is gecompromitteerd.”

De post legt verder uit hoe het bedrijf (vreemd genoeg in de derde persoon schrijvend, wat wijst op een gebrek aan acceptatie) geen bewijs heeft gevonden dat financiële en creditcardgegevens zijn gecompromitteerd na de aanval, die plaatsvond tijdens “eind februari en begin maart “. Gecompromitteerde informatie omvatte “naam van eBay-klanten, gecodeerd wachtwoord, e-mailadres, fysiek adres, telefoonnummer en geboortedatum.”

eBay houdt vol dat het de zaak serieus neemt en momenteel “werkt met wetshandhavings- en toonaangevende beveiligingsexperts, het bedrijf de zaak agressief onderzoekt en de beste forensische tools en praktijken toepast om klanten te beschermen.”

Hoe zijn uw eBay-gegevens gecompromitteerd?

Nadat eBay ongeveer twee weken geleden de beveiligingsinbreuk had ontdekt, maakte ze melding van “de gecompromitteerde inloggegevens van medewerkers” die verantwoordelijk zijn voor de inbraak. Een forensisch onderzoek heeft vervolgens “de gecompromitteerde eBay-database geïdentificeerd” waarin persoonlijke gegevens van elke afzonderlijke eBay-gebruiker zijn opgeslagen.

Misschien wil je die laatste alinea nog eens lezen.

OLYMPUS DIGITALE CAMERA

Op dit moment is het onduidelijk hoe de eBay-medewerkersaccounts zijn gecompromitteerd. Een suggestie is dat ze mogelijk het slachtoffer zijn geworden van een phishing-aanval, waarbij een valse e-mail werd verzonden waarin ze werden gevraagd in te loggen en hun wachtwoord opnieuw in te stellen op een overtuigend ogende website. Een alternatief en dit zijn slechts speculaties, aangezien eBay met weinig details over deze schandelijke affaire naar voren is gekomen, is dat de inbreuk mogelijk werd gemaakt door een interne aanval. Kan een medewerker deze inbraak hebben gepleegd?

Kijk ook eens naar het aantal rekeningen: van 145 miljoen mensen zijn blijkbaar persoonsgegevens gestolen. Als deze inbreuk het gevolg was van het gecompromitteerd zijn van werknemersaccounts, was er dan één persoon die toegang had tot alle 145 miljoen records?

De tijdlijn valt ondertussen samen met de Heartbleed-storm. In april stelde eBay gebruikers gerust: de tijdlijn valt ondertussen samen met de Heartbleed-storm. In april stelde eBay gebruikers gerust:

1) Je eBay-account is veilig

2) Uw eBay-accountgegevens zijn in het verleden niet openbaar gemaakt en blijven veilig

3) U hoeft geen aanvullende actie te ondernemen om uw informatie te beschermen

4) U hoeft uw wachtwoord niet te wijzigen

Ondertussen meldde de opstartservice voor het wijzigen van wachtwoorden, Passomatic, dat “al zijn partners de oplossing hebben gemaakt. Onder hen is eBay.”

Zou Heartbleed de weg naar eBay kunnen zijn? Of, nog beschamender, zou de focus op de OpenSSL-kwetsbaarheid een zeer kostbare afleiding kunnen zijn voor het online veilinghuis?

Omgaan met de beveiligingsinbreuk

Een van de meest zorgwekkende aspecten van deze zaak is de tijdlijn. Het lijkt opmerkelijk dat eBay de inbreuk niet eerder heeft ontdekt, iets dat kan wijzen op een hackoperatie met een bepaalde vaardigheid (het kan ook betekenen dat de databasebeveiliging van eBay niet geschikt is voor het beoogde doel).

Na de aankondiging beweerde eBay dat “gebruikers via e-mail, sitecommunicatie en andere marketingkanalen op de hoogte worden gebracht om hun wachtwoord te wijzigen”. Tot dusverre zijn er echter geen meldingen van ontvangen e-mails en alleen sociale netwerken die kennisgevingen doen.

muo-ebay-data-inbreuk-paypal

Wat u misschien niet weet over eBay, Inc. is dat het niet alleen eigenaar is van de populaire online veilingsite www.ebay.com en zijn internationale varianten, maar ook van PayPal.

De onbeschaamde, beperkte details die door eBay worden vrijgegeven, doen hen geen goed. Hoewel ze beweren dat hun andere bedrijven niet worden getroffen door deze inbreuk, is het een feit dat tenzij eBay bewijst dat ze dit zeker weten, we deze bewering op geen enkele manier kunnen vertrouwen.

Realistisch gezien is dit een beveiligingsinbreuk van catastrofale proporties. Het volume en de diepte van gegevens die van accounts worden gestolen, is ongekend.

Om het nog erger te maken, komen phishing-e-mails nu in inboxen over de hele wereld binnen terwijl oplichters proberen de inbreuk te verzilveren (hoewel een ongebruikelijk aspect van de zaak is dat de gegevens nog niet zijn opgedoken aan de donkere kant van internet, wat leidt tot een ongeïnformeerde speculatie dat de inbreuk weinig meer is dan een PR-oefening.)

muo-ebay-data-inbreuk-geen-waarschuwing

De schermkap hierboven is gemaakt op woensdag 21 mei, de dag dat het nieuws over het lek bekend werd. Geen waarschuwingen of advies te vinden!

Enkele andere dingen waar u rekening mee moet houden. In januari 2013 waren er wereldwijd 112,3 miljoen actieve gebruikers; Er zouden 145 miljoen records zijn gestolen. Dit laat het potentieel over voor ongeveer 30 miljoen ongebruikte accounts om te worden gekaapt, meer dan genoeg om de interne beoordelingen en het vertrouwenssysteem van eBay te vernietigen als de hackers dat zouden willen. Vertrouwen is de sleutel tot het bedrijfsmodel van eBay, en zonder vertrouwen zouden de dagen geteld kunnen zijn.

Dan is er het verzoek aan mensen om hun wachtwoord te wijzigen. De site heeft al prestatieproblemen ondervonden na nieuws over de inbreuk toen gebruikers massaal naar eBay stroomden om wachtwoorden te veranderen.

Dat is als gebruikers de optie wachtwoord wijzigen zelfs kunnen vinden (hint: klik op de uw wachtwoord vergeten? knop om tijd te besparen).

De vraag over financiële gegevens: zijn uw kaartgegevens veilig?

eBay houdt vol dat er geen financiële of creditcardgegevens zijn gecompromitteerd, alleen gebruikersnamen, wachtwoorden en e-mailadressen.

Dit is echter een poging tot schadebeperking om verontwaardiging tot een minimum te beperken.

Stel dat u toegang wilt tot uw eBay-kaartgegevens, wat zou u doen? Log in, of natuurlijk, met je gebruikersnaam en wachtwoord. Hoewel het kaartnummer grotendeels verborgen zal zijn (behalve de laatste vier cijfers), is er hier potentieel genoeg informatie om een ​​hacker te geven wat hij nodig heeft, van de vervaldatum van de kaart tot de bevestiging van je kaarttype, hoe vaak je hem hebt gebruikt. Deze informatie is zeker voldoende om een ​​persoon als doelwit uit te kiezen, en als er een kruisverwijzing wordt gemaakt met andere accounts, mogelijk meer.

Onthoud dat uw online identiteit in feite een dataset is van uw fysieke identiteit. Elk element naam, geboortedatum, adres is als een puzzel. Naarmate er meer stukjes worden gevonden, ontstaat er een groter beeld van wie je bent.

Wat moet u doen om uw gegevens te beschermen?

eBay heeft verklaard dat zijn bedrijven allemaal gescheiden worden gehouden. De implicatie hiervan zou moeten zijn dat PayPal-gegevens volledig geïsoleerd worden gehouden van eBay-gegevens.

Aangezien het bedrijf echter onduidelijk is geweest over hoe de inbreuk heeft plaatsgevonden en welke werknemers zijn getroffen, is er geen reden om deze opmerking serieus te nemen.

muo-ebay-data-inbreuk-login

Daarom raden we je aan om zowel je eBay- als je PayPal-wachtwoord te wijzigen. Zorg ervoor dat deze verschillend zijn en niet dezelfde zijn als die voor andere online accounts. Volg bovendien het advies van eBay op en adresseer andere online accounts die je hebt en die hetzelfde wachtwoord hebben gebruikt. Onze tips voor het maken van een veilig wachtwoord zouden u hier moeten helpen. U kunt deze ook opslaan in een beveiligde service of app zoals LastPass. Daarom raden we je aan om zowel je eBay- als je PayPal-wachtwoord te wijzigen. Zorg ervoor dat deze verschillend zijn en niet dezelfde zijn als die voor andere online accounts. Volg bovendien het advies van eBay op en adresseer andere online accounts die u heeft en die hetzelfde wachtwoord hebben gebruikt. Onze tips voor het maken van een veilig wachtwoord zouden u hier moeten helpen. U kunt deze ook opslaan in een beveiligde service of app zoals LastPass.

In de VS biedt PayPal een tweefactorauthenticatiesysteem aan waarbij een kleine, draagbare tool wordt gebruikt om een ​​code aan te maken. Hoewel het lijkt alsof er geen soortgelijk systeem voor eBay bestaat, kun je er in feite een voor de veilingsite bemachtigen nadat je je hebt aangemeld voor het PayPal-apparaat. De implementatie en promotie van deze tools was slecht, zoals je kunt zien, maar tweefactorauthenticatie is een must voor elke online service die gegevens over jou opslaat.

Onthoud dat dit uw gegevens zijn waarvan eBay toegeeft dat ze verloren zijn gegaan. Uw naam, adres, telefoonnummer, verjaardag u kunt uw wachtwoord wijzigen, maar u kunt ze niet wijzigen.

Deze inbreuk is rampzalig voor eBay

Zoals eerder vermeld, zijn wij van mening dat het wijzigen van uw wachtwoorden en het toepassen van tweefactorauthenticatie (indien beschikbaar) voor eBay en PayPal de beste manier van handelen is.

Als we echter kijken naar het gebrek aan informatie over de inbreuk, de mogelijkheid van een interne aanval, het gebrek aan gegevens die te koop worden aangeboden, het potentieel voor 30 miljoen zombie-accounts die de verkopersvertrouwensbeoordeling van eBay vernietigen en het onvermogen om met wachtwoordherstel om te gaan , blijft er een vraag die gesteld moet worden. Wil je echt lid worden van een website die op deze manier omgaat met gebruikersgegevens en beveiligingsinbreuken?

Als je denkt “maar eBay is de enige fatsoenlijke veilingsite!” dan heb je het helemaal mis, want er zijn genoeg alternatieven die je moet bekijken. Als je denkt “maar eBay is de enige fatsoenlijke veilingsite!” dan heb je het helemaal mis, want er zijn genoeg alternatieven die je moet bekijken.

We raden u echter aan om hier serieus over na te denken. Uw gestolen gegevens worden misschien niet opgeslagen, maar genoeg mensen die met hun voeten stemmen, zullen andere bedrijven in de toekomst reden geven om verantwoordelijk te handelen in deze situaties.

Heb je een e-mail van eBay ontvangen? Heb je je wachtwoord al gewijzigd? Wat vindt u van deze inbreuk?

Laat ons uw mening weten in de opmerkingen.

Afbeelding tegoed: wk1003mike via Shutterstock.com