No que é uma das maiores violações de dados de usuários, o eBay revelou que, em março de 2014, seus servidores estavam comprometidos. Além de confirmar que as contas de funcionários foram cooptadas e aconselhar os titulares de conta do eBay a mudarem suas senhas, isso não revela mais nada.
Então o que você deveria fazer? Está mudando sua senha o suficiente, ou você deve ir mais longe? Talvez suas preocupações se estendam a outros serviços de propriedade do eBay, principalmente o PayPal?
eBay explica o que aconteceu
Em um post no blog intitulado "eBay Inc. para pedir aos usuários do eBay para alterar as senhas" na quarta-feira, 21 de maio (seguindo uma publicação anterior que vazou a brecha de segurança, permitindo que várias agências de notícias ganhassem o eBay) a gigante do leilão anunciou aquele
“… Estará pedindo aos usuários do eBay que mudem suas senhas por causa de um ataque cibernético que comprometeu um banco de dados contendo senhas criptografadas e outros dados não financeiros.”
O post continua explicando como a empresa (estranhamente escrevendo na terceira pessoa, indicando falta de aceitação) não encontrou evidências de que informações financeiras e de cartão de crédito tenham sido comprometidas após o ataque, que ocorreu durante o final de fevereiro e início de março. " As informações comprometidas incluíam "nome dos clientes do eBay, senha criptografada, endereço de e-mail, endereço físico, número de telefone e data de nascimento".
O eBay insiste que está levando o assunto a sério e está atualmente "Trabalhando com a aplicação da lei e liderando especialistas em segurança, a empresa está investigando agressivamente o assunto e aplicando as melhores ferramentas e práticas forenses para proteger os clientes".
Como seus dados do eBay foram comprometidos?
Tendo detectado a violação de segurança há cerca de duas semanas, o eBay mencionou “as credenciais de login de funcionários comprometidas”, responsáveis pela invasão. Uma investigação forense "identificou o banco de dados comprometido do eBay", onde os dados pessoais - para cada usuário do eBay - são armazenados.
Você pode querer reler esse último parágrafo.
Neste ponto, não está claro exatamente como as contas de funcionários do eBay foram comprometidas. Uma sugestão é que eles podem ter entrado em conflito com um ataque de phishing, onde um e-mail falso foi enviado pedindo-lhes para fazer o login e redefinir sua senha em um site de aparência convincente. Uma alternativa - e estas são apenas especulações de que o eBay tem sido divulgado com poucos detalhes sobre esse caso vergonhoso - é que a violação foi possível graças a um ataque interno. Poderia um funcionário ter realizado essa pausa?
Além disso, considere o número de contas: dados pessoais de 145 milhões de pessoas aparentemente foram roubados. Se essa invasão foi resultado do comprometimento de contas de funcionários, houve uma única pessoa que teve acesso a todos os 145 milhões de registros?
Enquanto isso, a linha do tempo coincide com a tempestade Heartbleed Perigo confirmado: Heartbleed realmente abre chaves de criptografia para hackers Perigo confirmado: Heartbleed realmente abre chaves de criptografia para hackers O debate acabou se a nova vulnerabilidade OpenSSL Heartbleed poderia ser utilizada para obter chaves de criptografia privadas de servidores e sites vulneráveis. A Cloudflare confirmou que as chaves de criptografia privadas estão em risco. Consulte Mais informação . Em abril, o eBay tranquilizou os usuários:
1) Sua conta do eBay é segura
2) Os detalhes da sua conta no eBay não foram expostos no passado e permanecem seguros
3) Você não precisa tomar nenhuma medida adicional para proteger suas informações
4) Não há necessidade de alterar sua senha
Enquanto isso, o serviço de troca de senha de inicialização, o Passomatic, relatou que “todos os seus parceiros fizeram a correção. Entre eles estão o eBay ”.
Heartbleed poderia ter sido a rota para o eBay? Ou, mais embaraçosamente, o foco na vulnerabilidade do OpenSSL pode ter sido uma distração muito custosa para a casa de leilões online?
Lidando com a quebra de segurança
Um dos aspectos mais preocupantes deste caso é a linha do tempo. Parece notável que o eBay não tenha detectado a violação mais cedo, algo que pode indicar uma operação de hacking de habilidade específica (igualmente, pode significar que a segurança do banco de dados do eBay não é adequada para o propósito).
Após o anúncio, o eBay afirmou que “os usuários serão notificados via e-mail, comunicações do site e outros canais de marketing para alterar sua senha”. No entanto, até agora não houve relatos de e-mails sendo recebidos e apenas redes sociais emitindo avisos.
O que você pode não saber sobre o eBay, Inc. é que ele não apenas possui o popular site de leilões online www.ebay.com e suas variantes internacionais, mas também possui o PayPal.
Os detalhes não solicitados e limitados do eBay não os favorecem. Embora eles afirmem que seus outros negócios não são afetados por essa violação, o fato é que, a menos que o eBay prove que eles sabem disso com certeza, não há como confiar nessa afirmação.
Sendo realista, esta é uma quebra de segurança de proporções cataclísmicas. O volume e a profundidade dos dados roubados das contas são sem precedentes.
Para piorar a situação, os e-mails de phishing estão chegando em caixas de entrada ao redor do mundo, enquanto os golpistas tentam lucrar com a violação (embora um aspecto incomum no caso seja que os dados ainda não apareceram no lado mais sombrio da Internet, levando a alguma especulação desinformada de que a violação é pouco mais que um exercício de RP.)
A tampa da tela acima foi tirada na quarta-feira, 21 de maio, quando as notícias do dia vazaram. Nenhum aviso ou conselho para ser encontrado!
Algumas outras coisas que você deve considerar. Em janeiro de 2013, havia 112, 3 milhões de usuários ativos em todo o mundo; Dizem que 145 milhões de registros foram roubados. Isso deixa o potencial para que cerca de 30 milhões de contas não utilizadas sejam sequestradas - mais do que suficiente para destruir o sistema interno de classificação e confiança do eBay, caso os hackers assim o escolham. A confiança é fundamental para o modelo de negócios do eBay e, sem ele, seus dias poderiam ser numerados.
Depois, há a solicitação para que as pessoas alterem suas senhas. O site já experimentou problemas de desempenho após a notícia da violação, já que os usuários migraram para o eBay para começar a mudar as senhas.
então somos aconselhados a mudar nossa senha do ebay porque ela foi hackeada ... mas não consigo por causa do alto tráfego. legal.
- Angela (@CRiSPilyMEEE) 22 de maio de 2014
A redefinição de senha do @eBay_UK não funciona, não podemos alterar as senhas em nenhuma de nossas contas, envia o link de redefinição de e-mail, mas mantém o loop
- Tier 1 Online (@ tier1online) 22 de maio de 2014
Isso se os usuários puderem encontrar a opção de alteração de senha (dica: clique no botão Esqueceu sua senha? Para economizar tempo).
Como você muda sua senha do eBay? A interface do usuário é atroz. Ping @ stilgherrian
- Justin Warren (@jpwarren) 21 de maio de 2014
A questão dos dados financeiros: os detalhes do seu cartão são seguros?
O eBay insiste que nenhum dado financeiro ou de cartão de crédito foi comprometido, apenas nomes de usuário, senhas e endereços de e-mail.
Esta é uma tentativa de controle de danos, no entanto, para minimizar a indignação.
Digamos que você queira acessar os detalhes do seu cartão do eBay, o que você faria? Entre, claro, com seu nome de usuário e senha. Embora o número do cartão seja amplamente obscurecido (com exceção dos quatro dígitos finais), há informações potencialmente suficientes aqui para dar a um hacker o que ele precisa, desde a data de validade do cartão até a confirmação do tipo de cartão, com que frequência você o usou. Esta informação é certamente suficiente para escolher um indivíduo como alvo, e se cruzado com outras contas, possivelmente mais.
Lembre-se de que sua identidade on-line é basicamente um conjunto de dados de sua identidade física. Cada elemento - nome, data de nascimento, endereço - é como um quebra-cabeça. À medida que mais peças são encontradas, surge uma imagem maior de quem você é.
O que você deve fazer para proteger seus dados?
O eBay afirmou que seus negócios são mantidos separados. A implicação disso deve ser que os dados do PayPal sejam mantidos completamente isolados dos dados do eBay.
No entanto, como a empresa não está clara sobre como a violação ocorreu e quais funcionários foram afetados, não há motivos para levar esse comentário a sério.
Como tal, recomendamos que você altere suas senhas do eBay e do PayPal. Assegure-se de que eles sejam diferentes e não sejam os mesmos usados para outras contas on-line. Além disso, considere o conselho e endereço do eBay em outras contas on-line que você usou com a mesma senha. Nossas dicas para criar uma senha segura 7 Maneiras de criar senhas seguras e memoráveis 7 maneiras de criar senhas seguras e memoráveis Ter uma senha diferente para cada serviço é imprescindível no mundo on-line de hoje, mas há um problema terrível fraqueza para senhas geradas aleatoriamente: é impossível lembrar de todas elas. Mas como você pode se lembrar ... Leia mais deve ajudá-lo aqui. Você também pode armazená-los em um serviço ou aplicativo seguro, como o LastPass.
Nos EUA, o PayPal oferece um sistema de autenticação de dois fatores usando uma pequena ferramenta portátil para criar um código. Embora pareça que não existe um sistema semelhante para o eBay, você pode, na verdade, colocar as mãos em um para o site de leilão depois de se inscrever no dispositivo do PayPal. A implementação e a promoção dessas ferramentas têm sido ruins, como você pode ver, mas a autenticação de dois fatores é uma obrigação para qualquer serviço on-line que armazene dados sobre você.
Lembre-se, esses são os dados que o eBay está admitindo ter perdido. Seu nome, endereço, número de telefone, data de nascimento ... você pode alterar sua senha, mas não pode alterá-la.
Esta violação é desastrosa para o eBay
Como afirmamos anteriormente, acreditamos que alterar suas senhas e adotar a autenticação de dois fatores (quando disponível) para o eBay e o PayPal é o melhor curso de ação.
No entanto, se considerarmos a falta de informação sobre a violação, a possibilidade de um ataque interno, a falta de dados à venda, o potencial de 30 milhões de contas zumbis destruindo o rating de confiança do vendedor do eBay e sua incapacidade de lidar com redefinições de senha, resta uma pergunta que precisa ser feita. Você realmente quer ser um membro de um site que trata os dados do usuário e violações de segurança dessa maneira?
Se você está pensando “mas o eBay é o único site de leilões decente!”, Então você está completamente errado, já que há muitas alternativas que você deve verificar no Fed Up With eBay? Aqui estão algumas alternativas dignas (e mais baratas) para os vendedores fartos do eBay? Aqui estão algumas alternativas dignas (e mais baratas) para vendedores Quando você quer vender seu excesso de lixo online, aonde você vai? Para a maioria das pessoas, a primeira e única resposta é o eBay. Com milhões de usuários diários, parece lógico usar o ... Leia Mais.
No entanto, gostaríamos de encorajá-lo a considerar seriamente este assunto. Pode não salvar seus dados roubados, mas pessoas suficientes votando com seus pés darão a outras empresas a responsabilidade de agir com responsabilidade nessas situações no futuro.
Você recebeu um email do eBay? Você já alterou sua senha? Como você se sente sobre essa violação?
Deixe-nos saber seus pensamentos nos comentários.
Crédito de imagem: wk1003mike via Shutterstock.com