La filtración de datos de ebay: lo que necesita saber

En lo que es una de las mayores violaciones de datos de usuario, sin embargo, eBay ha puesto de manifiesto que en marzo de 2014 se vieron comprometidas sus servidores. Aparte de confirmar que las cuentas del personal fueron cooptados y asesorar a los titulares de cuentas de eBay para cambiar sus contraseñas, se está revelando nada más.

¿Entonces, qué debería hacer? Está cambiando su contraseña lo suficientemente, o debe ir más allá? Tal vez sus preocupaciones se extienden a otros servicios de propiedad de eBay, más notablemente PayPal?

eBay explica lo que sucedió

En un blog titulado “eBay Inc. pedir a los usuarios de eBay para cambiar las contraseñas” desde miércoles 21 mayo^st (Después de una entrada en el blog vacío antes que se filtró la brecha de seguridad, permitiendo que varios medios de prensa para conseguir el salto en eBay) el gigante de las subastas anunció que

“... se le pedirá a los usuarios de eBay para cambiar sus contraseñas a causa de un ataque informático que comprometió una base de datos que contiene las contraseñas cifradas y otros datos no financieros.”

El puesto pasa a explicar cómo la empresa (por extraño escribir en tercera persona, lo que indica una falta de aceptación) no ha encontrado ninguna evidencia de que la información financiera y de la tarjeta de crédito se ha visto comprometida tras el ataque, que tuvo lugar durante la “finales de febrero y principios de marzo ”. información comprometida incluido “de los clientes de eBay nombre, contraseña encriptada, dirección de correo electrónico, dirección física, número de teléfono y fecha de nacimiento.”

EBay insiste en que está tomando el asunto en serio y en la actualidad es “Trabajando con la policía y los principales expertos de seguridad, la compañía está investigando agresivamente la materia y aplicar las mejores prácticas y herramientas de análisis forense para proteger a los clientes.”

¿Cómo se ha visto comprometida de los datos de eBay?

Habiendo detectado el fallo de seguridad alrededor de hace dos semanas, eBay hizo mención de “el empleado comprometido credenciales de acceso”, que son los culpables de la intrusión. A continuación, la investigación forense “identifica la base de datos de eBay comprometida”, donde los datos personales - para cada usuario de eBay - se almacena.

Es posible que desee volver a leer ese último párrafo.

En este punto, no está claro exactamente cómo se vieron comprometidas las cuentas de los empleados de eBay. Una sugerencia es que pueden haber caído en desgracia con un ataque de phishing, donde fue enviado un correo electrónico falso pidiéndoles que iniciar sesión y restablecer su contraseña en un sitio web de aspecto convincente. Una alternativa - y estos no son más que especulaciones como eBay se ha recibido con poco detalle sobre este asunto vergonzoso - es que el incumplimiento fue posible gracias a un ataque interno. Un empleado podría haber llevado a cabo esta ruptura?

Además, considere el número de cuentas: los datos personales de 145 millones de personas aparentemente ha sido robado. Si fue el resultado de las cuentas de los empleados se vea comprometida esta intrusión, hubo una sola persona que tenía acceso a todos los 145 millones de registros?

La línea de tiempo, por su parte, coincide con la tormenta heartbleed. En abril de eBay aseguró a los usuarios:Peligro Confirmado: heartbleed realmente se abren Crypto Claves para hackersPeligro Confirmado: heartbleed realmente se abren Crypto Claves para hackersSe acabó el debate sobre si la nueva vulnerabilidad OpenSSL heartbleed podría ser utilizada para obtener las claves de cifrado privadas de los servidores y sitios web vulnerables. Cloudflare ha confirmado que las claves de cifrado privadas están en riesgo.Lee mas

1) Su cuenta de eBay es seguro

2) detalles de su cuenta de eBay no fueron expuestos en el pasado y se mantienen seguros

3) No es necesario tomar ninguna medida adicional para proteger su información

4) No hay necesidad de cambiar su contraseña

Mientras tanto, el servicio de cambio de contraseña de inicio Passomatic informó que “todos sus socios han hecho la revisión. Entre ellos se encuentran eBay “.

Podría heartbleed han sido la ruta en eBay? O más embarazosa, podría el enfoque en la vulnerabilidad OpenSSL resultar haber sido una distracción muy costoso para la casa de subastas en línea?

El ocuparse de la brecha de seguridad

Uno de los aspectos más preocupantes de este caso es la línea de tiempo. Parece notable que eBay no detectó la infracción antes, algo que puede indicar una operación de piratería de habilidad en particular (por igual, podría significar que la seguridad de base de datos de eBay no es apto para el propósito).

Tras el anuncio, eBay afirma que “los usuarios serán notificados a través de correo electrónico, comunicaciones de sitio y otros canales de comercialización para cambiar su contraseña”. Sin embargo hasta el momento no ha habido informes de correos electrónicos que se reciben, y sólo las redes sociales emisión de avisos.

Lo que no puede saber acerca de eBay, Inc. es que no sólo posee el popular sitio de subastas en línea ebay.com y sus variantes internacionales, sino que también es propietaria de PayPal.

Los detalles sin complejos, con un límite comunicados por eBay a hacer ningún favor. Mientras que afirman que sus otros negocios no se ven afectadas por este incumplimiento, el hecho es que a menos que eBay demostrar que saben a ciencia cierta, no hay manera de que podemos confiar en esta afirmación.

Siendo realistas, esto es una violación de la seguridad de proporciones cataclísmicas. El volumen y la profundidad de los datos robado de cuentas no tiene precedentes.

Para empeorar las cosas, correos electrónicos de phishing están llegando en las bandejas de entrada en todo el mundo como los estafadores tratan de sacar provecho de la brecha (aunque un aspecto inusual del caso es que los datos aún no ha aparecido ya sea en el lado más oscuro de la Internet, dando lugar a una cierta especulación mal informada de que el incumplimiento es poco más que un ejercicio de relaciones públicas).

La tapa de la pantalla de arriba fue tomada el miércoles, 21 de mayo de la noticia el día de la fuga se rompió. No hay advertencias o consejos que se encuentran!

Algunas otras cosas que usted debe considerar. A partir de enero 2013 podamos fueron 112,3 millones de usuarios activos en todo el mundo- 145 millones de registros se dice que han sido robados. Esto deja la posibilidad de que alrededor de 30 millones de cuentas no utilizadas a ser secuestrado - más que suficiente para destruir de calificación interna y sistema de confianza de eBay deben así que elige los piratas informáticos. La confianza es clave para el modelo de negocio de eBay, y sin ella, sus días podría ser numerada.

Luego está la solicitud de las personas cambien sus contraseñas. El sitio ya ha experimentado problemas de rendimiento siguientes noticias de la violación como usuarios acudieron a eBay para comenzar a cambiar las contraseñas.

Eso, si los usuarios pueden incluso encontrar la opción de cambio de contraseña (pista: haga clic en el ¿Olvidaste tu contraseña? botón para ahorrar tiempo).

¿Cómo diablos se cambia la contraseña de eBay? La interfaz de usuario es atroz. @stilgherrian Ping

- Justin Warren (@jpwarren) de 21 de mayo de, 2014

La cuestión Datos Financieros: Son sus detalles de tarjeta de seguridad?

EBay insiste en que no hay datos financieros o tarjeta de crédito ha sido comprometida, sólo los nombres de usuario, contraseñas y direcciones de correo electrónico.

Este es un intento de control de daños, sin embargo, para minimizar el ultraje.

Di que quieres acceder a sus datos de la tarjeta de eBay, ¿qué harías? Iniciar sesión en, o por supuesto, con su nombre de usuario y contraseña. Mientras que el número de la tarjeta será en gran parte está oculta (a excepción de los últimos cuatro dígitos) potencialmente hay suficiente información aquí para dar un hacker lo que necesitan, desde la tarjeta de fecha de caducidad de la confirmación de su tipo de tarjeta, la frecuencia con que lo ha utilizado. Esta información es más que suficiente para recoger un individuo como un objetivo, y si referencia cruzada con otras cuentas, posiblemente más.

Recuerde, su identidad en línea es básicamente un conjunto de datos de su identidad física. Cada elemento - nombre, fecha de nacimiento, dirección - es como un rompecabezas. A medida que se encuentran más piezas, un panorama más amplio de lo que eres emerge.

Lo que debe hacer para proteger sus datos?

eBay ha declarado que sus negocios están todos separados. La implicación de esto debe ser que los datos de PayPal se mantiene completamente aislado de los datos de eBay.

Sin embargo, ya que la empresa ha sido claro sobre cómo se produjo la violación, así como el que los empleados se vieron afectados, no hay ninguna razón para tomar en serio este comentario.

Como tal, recomendamos que cambie sus contraseñas tanto de eBay y PayPal. Asegúrese de que éstos son diferentes, y no son los mismos que los utilizados para las otras cuentas en línea. Por otra parte, seguir el consejo de dirección y otras cuentas en línea de eBay que tiene y que utilizan la misma contraseña. Nuestros consejos sobre cómo crear una contraseña segura debe ayudarle a cabo aquí. También puede almacenar estos en un servicio o aplicación segura, como LastPass.7 maneras para compensar las contraseñas que son a la vez seguro & Memorable7 maneras para compensar las contraseñas que son a la vez seguro & MemorableTener una contraseña diferente para cada servicio es una necesidad en el mundo online de hoy en día, pero hay una terrible debilidad de las contraseñas generadas al azar: es imposible recordarlos todos. Pero ¿cómo es posible recordar ...Lee mas

En los EE.UU., PayPal ofrece un sistema de autenticación de dos factores mediante una pequeña herramienta de mano para crear un código. Si bien podría parecer que no existe un sistema similar en lugar de eBay, de hecho, puede conseguir sus manos en uno para el sitio de subastas después de que se haya registrado para el dispositivo de PayPal. La aplicación y promoción de estas herramientas ha sido pobre, como se puede ver, pero autenticación de dos factores es una necesidad para cualquier servicio en línea que almacena ningún dato acerca de usted.

Recuerde, esto es los datos que eBay está admitiendo a haber perdido. Su nombre, dirección, número de teléfono, cumpleaños ... se puede cambiar la contraseña, pero no se puede cambiar.

Esta violación es desastroso para eBay

Como se dijo anteriormente, creemos que cambiando sus contraseñas y la adopción de la autenticación de dos factores (donde esté disponible) para eBay y PayPal es el mejor curso de acción.

Sin embargo, si tenemos en cuenta la falta de información sobre el incumplimiento, la posibilidad de un ataque interno, la falta de datos que se puso a la venta, el potencial de 30 millones de zombi cuentas destruir Valoración del vendedor confianza de eBay y su incapacidad para lidiar con el restablecimiento de contraseñas , sigue habiendo una pregunta que tiene que ser pedido. ¿De verdad quieres ser un miembro de un sitio web que trata los datos de usuario y las brechas de seguridad de esta manera?

Si usted está pensando “pero eBay es el único sitio de subastas decente!”, Entonces estás muy equivocado, ya que hay un montón de alternativas que usted debe comprobar fuera.Hartos de eBay? Aquí hay algunas Digno (y más barato) Alternativas para los vendedoresHartos de eBay? Aquí hay algunas Digno (y más barato) Alternativas para los vendedoresCuando se quiere vender su exceso de basura en línea, ¿dónde ir? Para la mayoría de la gente, la única respuesta es eBay. Con millones de usuarios diarios, sólo parece lógico utilizar la ...Lee mas

Sin embargo, le animamos a dar a este punto seriamente. Puede que no guardar los datos robados, pero suficientes personas que votan con sus pies le dará a otras compañías hacen actuar de manera responsable en estas situaciones en el futuro.

¿Ha recibido un correo electrónico de eBay? ¿Cambió su contraseña ya? ¿Cómo se siente acerca de este incumplimiento?

Háganos saber su opinión en los comentarios.