eBay泄露了用户数据,这是迄今为止最大的用户数据泄露事件之一,2014年3月,其服务器受到了威胁。除了确认已选择员工帐户并建议eBay帐户持有人更改密码外,它什么也没有透露。
那么,您应该怎么做?更改密码是否足够,还是应该更进一步?也许您的担忧扩展到其他eBay拥有的服务,最著名的是PayPal?
eBay在发生在标题为“ eBay Inc.要求eBay用户更改密码"的博客文章中解释了发生的情况
5月21日,星期三 st (此前有一篇空博客泄漏了安全漏洞,使多家新闻媒体可以在eBay上找到了机会),拍卖巨人宣布
“…将会因为网络攻击破坏了包含加密密码和其他非财务数据的数据库而要求eBay用户更改密码。"
该帖子继续说明了公司的运作方式(在第三篇文章中写(表示缺乏接受)的人)没有发现证据表明金融和信用卡信息在“ 2月下旬和3月上旬"袭击之后受到了损害。泄露的信息包括“ eBay客户的姓名,加密的密码,电子邮件地址,实际地址,电话号码和出生日期。"
EBay坚持要认真对待此事,目前正在“与执法部门合作"和领先的安全专家,该公司正在积极调查此事,并采用最佳的取证工具和做法来保护客户。"
您的eBay数据如何受到损害?
已检测到安全性大约在两周前,eBay违反了该规则,eBay提到了“入侵的员工登录凭据"。然后进行法医调查,“确定受损的eBay数据库",其中存储了每个eBay用户的个人数据。
您可能想重新阅读最后一段。
在这一点上,目前尚不清楚eBay员工帐户是如何被盗用的。一个建议是,他们可能受到网上诱骗攻击的侵害,在该诱骗网站上发送了一封虚假电子邮件,要求他们登录并重设密码。另一种选择是-这些只是猜测,因为eBay即将就这一可耻的事情提供很少的细节-是该漏洞是由内部攻击造成的。
还要考虑一个帐户的数量吗?
还考虑了帐户数:1.45亿人的个人数据显然被盗了。如果这种入侵是由于员工帐户遭到入侵而造成的,那么是否只有一个人可以访问全部1.45亿条记录?
与此同时,时间轴恰好与Heartbleed风暴相吻合。在4月份,eBay向用户保证:
1)您的eBay帐户是安全的
2)您的eBay帐户详细信息过去从未暴露过,并且保持安全
3 )您无需采取任何其他措施来保护您的信息
4)不需要更改密码
,同时启动密码更改服务Passomatic报告说“所有合作伙伴已解决此问题。
Heartbleed会成为进入eBay的途径吗?或更令人尴尬的是,对OpenSSL漏洞的关注可能对在线拍卖行造成了非常昂贵的干扰?
应对安全漏洞
最令人关注的问题之一有关此案的方面是时间表。令人惊讶的是,eBay并未尽早发现此漏洞,这可能表明该黑客具有特殊技能(同样,这可能意味着eBay的数据库安全性不适合其目的)。
eBay声称“将通过电子邮件,站点通信和其他营销渠道通知用户更改密码"。但是,到目前为止,还没有关于收到电子邮件的报告,只有社交网络发布了通知。
您可能不了解eBay,Inc.的原因是它不仅拥有受欢迎的在线拍卖网站www .ebay.com及其国际变体,它还拥有PayPal。
eBay毫不客气的,有限的详细信息发布对他们不利。尽管他们声称自己的其他业务不受此漏洞的影响,但事实是,除非eBay证明他们确实知道这一点,否则我们无法相信这一主张。
这是现实的,这是严重破坏安全性的行为。从帐户中窃取的数据量和深度是史无前例的。
更糟糕的是,网络诈骗电子邮件现在正随着骗局者试图利用此漏洞获利而在全球各地的收件箱中到达(尽管情况是互联网的阴暗面尚未出现数据,导致一些不为人知的猜测,该漏洞仅是PR练习。)
上面的屏幕截图是5月21日(星期三),有关泄漏的当天消息传出。找不到警告或建议!
您应该考虑的其他事项。截至2013年1月,全球共有1.123亿活跃用户;据说有1.45亿条记录被盗。这样一来,大约有3000万个未使用帐户被劫持的可能性–如果黑客选择,则足以破坏eBay的内部评级和信任系统。信任是eBay商业模式的关键,没有它,它的日子可能会很长。
然后是人们要求更改密码的要求。随着用户蜂拥而至,开始蜂拥而至,更改密码,该网站已经遇到性能问题。
-Angela(@CRiSPilyMEEE),2014年5月22日
-1级在线(@ tier1online)2014年5月22日
用户甚至可以找到“更改密码"选项(提示:单击忘记密码?按钮以节省时间)。
财务数据问题:您的卡详细信息安全吗?
EBay坚持认为,不会泄露任何财务或信用卡数据,仅破坏用户名,密码和电子邮件地址。
但是,这是尝试进行损害控制,以最大程度地减少愤怒。
假设您要访问eBay卡的详细信息,该怎么办?使用您的用户名和密码登录或登录。尽管卡号会被很大程度地掩盖(最后四位除外),但这里可能有足够的信息可以向黑客提供他们所需的信息,从卡的有效期到确认您的卡类型,以及使用频率。这些信息肯定足以将一个人选为目标,并且如果与其他帐户进行交叉引用,甚至可能更多。
请记住,您的在线身份基本上是您的物理身份的数据集。每个元素-名称,出生日期,地址-都像拼图一样。发现更多碎片后,您的身份就会更加清晰。
您应该采取什么措施保护您的数据?
eBay表示,其业务都是独立的。这样做的含义应该是使PayPal数据与eBay数据完全隔离。
但是,由于该公司不清楚违规行为是如何发生的以及哪些员工受到了影响,因此没有理由采取这一措施。
因此,我们建议您同时更改eBay和PayPal密码。确保它们不同,并且与用于任何其他在线帐户的那些不同。此外,请注意eBay的建议并为您使用相同密码的其他在线帐户提供地址。我们有关创建安全密码的提示应会在这里为您提供帮助。您也可以将它们存储在安全服务或应用程序中,例如LastPass。
在美国,贝宝(PayPal)提供了一种使用小型手持工具创建代码的两要素身份验证系统。尽管eBay似乎没有类似的系统,但实际上,您注册了PayPal设备后,就可以在拍卖网站上使用它。如您所见,这些工具的实施和升级情况很差,但是对于任何存储有关您的数据的在线服务来说,必须进行两步验证。
请记住,这是eBay所提供的数据承认自己迷路了。您的姓名,地址,电话号码,生日……您可以更改密码,但不能更改密码。
对于eBay而言,这种破坏是灾难性的
如前所述,我们相信最好的做法是更改eBay和PayPal的密码并采用两因素身份验证。
但是,如果我们认为缺少有关违规行为的信息,则可能是内部攻击,缺乏可供出售的数据,3000万个僵尸帐户可能破坏eBay的卖方信任度以及无法应对密码重置的问题,仍然有一个问题需要提出。您是否真的想成为以这种方式处理用户数据和安全漏洞的网站的成员?
如果您正在考虑“但是eBay是唯一的像样的拍卖网站!"那么您就相当了。错了,因为您应该检查很多其他选择。
但是,我们鼓励您认真考虑这个问题。它可能不会保存您的失窃数据,但是足够多的人用脚投票将使其他公司在将来在这种情况下采取负责任的行动。
您是否已收到eBay的电子邮件?您已经更改密码了吗?您如何看待这种违规行为?
在评论中让我们知道您的想法。
图片来源:wk1003mike,通过Shutterstock.com
