Dans ce qui est encore l'une des plus grandes violations des données de l'utilisateur, eBay a révélé qu'en Mars 2014, ses serveurs ont été compromis. En plus de confirmer que les comptes du personnel ont été cooptés et d'aviser les titulaires de compte eBay de changer leur mot de passe, cela ne révèle rien d'autre.
Alors, que devrais-tu faire? Est-ce que changer votre mot de passe suffit, ou devriez-vous aller plus loin? Peut-être que vos préoccupations s'étendent à d'autres services appartenant à eBay, notamment PayPal?
eBay explique ce qui s'est passé
Dans un article de blog intitulé "eBay Inc. pour demander aux utilisateurs d'eBay de changer les mots de passe" le mercredi 21 mai (après un post de blog vide qui a fui la faille de sécurité, permettant à plusieurs médias de se lancer sur eBay) cette
"... il demandera aux utilisateurs d'eBay de changer leurs mots de passe en raison d'une cyberattaque qui a compromis une base de données contenant des mots de passe cryptés et d'autres données non financières."
L'article explique ensuite comment la société (étrangement parlant à la troisième personne, indiquant un manque d'acceptation) n'a trouvé aucune preuve que les informations financières et de carte de crédit ont été compromises suite à l'attaque qui a eu lieu fin février et début mars. ". Les informations compromises comprenaient «le nom des clients eBay, mot de passe crypté, adresse e-mail, adresse physique, numéro de téléphone et date de naissance».
EBay insiste sur le fait qu'elle prend le sujet au sérieux et travaille actuellement avec les forces de l'ordre et les experts en sécurité, la société enquête agressivement sur la question et applique les meilleurs outils et pratiques médico-légales pour protéger les clients.
Comment vos données eBay ont-elles été compromises?
Ayant détecté la faille de sécurité il y a environ deux semaines, eBay a mentionné "les informations d'identification de connexion des employés compromises" qui sont à blâmer pour l'intrusion. Une enquête judiciaire a ensuite «identifié la base de données eBay compromise», dans laquelle sont stockées les données personnelles (pour chaque utilisateur d'eBay).
Vous voudrez peut-être relire ce dernier paragraphe.
À ce stade, il n'est pas clair exactement comment les comptes d'employés eBay ont été compromis. Une suggestion est qu'ils peuvent avoir été victimes d'une attaque de phishing, où un faux courriel leur a été envoyé pour leur demander de se connecter et de réinitialiser leur mot de passe sur un site Web convaincant. Une alternative - et ce ne sont que des spéculations car eBay a été livré avec peu de détails sur cette affaire honteuse - est que la violation a été rendue possible par une attaque interne. Un employé aurait-il pu effectuer cette pause?
Aussi, considérons le nombre de comptes: des données personnelles de 145 millions de personnes ont apparemment été volées. Si cette intrusion résultait de la compromission des comptes des employés, y avait-il une seule personne qui avait accès aux 145 millions de dossiers?
La chronologie, quant à elle, coïncide avec la tempête Heartbleed Danger Confirmé: Heartbleed ouvre vraiment les clés de chiffrement aux pirates Danger confirmé: Heartbleed ouvre vraiment les clés de chiffrement aux pirates informatiques Le débat est terminé sur la question de savoir si la nouvelle vulnérabilité OpenSSL Heartbleed pourrait être utilisée pour obtenir clés de cryptage privées à partir de serveurs et de sites Web vulnérables. Cloudflare a confirmé que les clés de cryptage privées sont en danger. Lire la suite . En avril, eBay a rassuré les utilisateurs:
1) Votre compte eBay est sécurisé
2) Les détails de votre compte eBay n'ont pas été exposés dans le passé et restent sécurisés
3) Vous n'avez pas besoin de prendre des mesures supplémentaires pour protéger vos informations
4) Il n'est pas nécessaire de changer votre mot de passe
Pendant ce temps, le service de changement de mot de passe de démarrage Passomatic a rapporté que "tous ses partenaires ont fait le correctif. Parmi eux, eBay. "
Heartbleed aurait-il pu être la route vers eBay? Ou plus embarrassant, l'accent mis sur la vulnérabilité OpenSSL pourrait-il être une distraction très coûteuse pour la maison de vente aux enchères en ligne?
Traiter avec la violation de la sécurité
L'un des aspects les plus préoccupants de ce cas est le calendrier. Il semble remarquable qu'eBay n'ait pas détecté la violation plus tôt, ce qui peut indiquer une opération de piratage d'une compétence particulière (de même, cela pourrait signifier que la sécurité de la base de données d'eBay n'est pas adaptée).
Suite à l'annonce, eBay a affirmé que "les utilisateurs seront informés par e-mail, les communications du site et d'autres canaux de marketing pour changer leur mot de passe". Cependant, jusqu'à présent, aucun e-mail n'a été reçu, et seuls les réseaux sociaux publient des avis.
Ce que vous ne savez peut-être pas sur eBay, Inc., c'est qu'il possède non seulement le populaire site de vente aux enchères en ligne www.ebay.com et ses variantes internationales, mais il possède aussi PayPal.
L'impassible, les détails limités communiqués par eBay ne leur font pas de faveurs. Bien qu'ils prétendent que leurs autres activités ne sont pas affectées par cette violation, le fait est que, à moins qu'eBay prouve qu'ils le savent, nous ne pouvons en aucun cas faire confiance à cette affirmation.
Être réaliste, c'est une faille de sécurité de proportions cataclysmiques. Le volume et la profondeur des données volées dans les comptes sont sans précédent.
Pour aggraver les choses, les courriels d'hameçonnage arrivent maintenant dans les boîtes de réception à travers le monde alors que les escrocs essaient d'encaisser la brèche (bien que l'aspect inhabituel de l'affaire soit que les données ne soient pas encore sur le côté sombre d'Internet conduisant à des spéculations non informées que la violation est un peu plus qu'un exercice de relations publiques.)
La calotte d'écran ci-dessus a été prise le mercredi 21 mai, jour de la rupture de la fuite. Pas d'avertissement ou de conseil à trouver!
Quelques autres choses que vous devriez considérer. En janvier 2013, il y avait 112, 3 millions d'utilisateurs actifs dans le monde; 145 millions de dossiers auraient été volés. Cela laisse le potentiel pour détourner environ 30 millions de comptes inutilisés, ce qui est plus que suffisant pour détruire les évaluations internes et le système de confiance d'eBay si les pirates choisissent de le faire. La confiance est la clé du business model d'eBay, et sans elle, ses jours pourraient être comptés.
Ensuite, il y a la demande pour que les gens changent leurs mots de passe. Le site a déjà rencontré des problèmes de performance à la suite des nouvelles de la violation que les utilisateurs se sont précipités sur eBay pour commencer à changer les mots de passe.
donc nous sommes invités à changer notre mot de passe ebay parce qu'il a été piraté ... mais je ne peux pas en raison du trafic élevé. cool.
- Angela (@CRiSPilyMEEE) 22 mai 2014
@eBay_UK réinitialisation du mot de passe ne fonctionne pas, nous ne pouvons pas changer les mots de passe sur l'un de nos comptes, envoie le lien de réinitialisation de l'e-mail, mais continue à boucler
- Niveau 1 en ligne (@ tier1online) 22 mai 2014
Si les utilisateurs peuvent même trouver l'option de changement de mot de passe (indice: cliquez sur le bouton "Mot de passe oublié? " Pour gagner du temps).
Comment diable changez-vous votre mot de passe eBay? L'interface utilisateur est atroce. Ping @stilgherrian
- Justin Warren (@jpwarren) 21 mai 2014
La question des données financières: les détails de votre carte sont-ils sécuritaires?
EBay insiste sur le fait qu'aucune donnée financière ou de carte de crédit n'a été compromise, seulement des noms d'utilisateur, des mots de passe et des adresses e-mail.
Ceci est une tentative de contrôle des dommages, cependant, pour minimiser l'indignation.
Dites que vous vouliez accéder aux détails de votre carte eBay, que feriez-vous? Connectez-vous, ou bien sûr, avec votre nom d'utilisateur et mot de passe. Alors que le numéro de carte sera largement obscurci (sauf pour les quatre derniers chiffres) il y a potentiellement assez d'informations ici pour donner à un pirate ce dont il a besoin, de la date d'expiration de la carte à la confirmation du type de carte. Cette information est certainement suffisante pour choisir une personne comme une cible, et si recoupé avec d'autres comptes, peut-être plus.
Rappelez-vous, votre identité en ligne est essentiellement un ensemble de données de votre identité physique. Chaque élément - nom, date de naissance, adresse - est comme un puzzle. Comme plus de pièces sont trouvées, une plus grande image de qui vous émerge.
Ce que vous devez faire pour protéger vos données
eBay a déclaré que ses activités sont toutes séparées. L'implication de ceci devrait être que les données de PayPal soient complètement isolées des données d'eBay.
Cependant, étant donné que l'entreprise ne sait pas exactement comment la violation s'est produite et quels employés ont été touchés, il n'y a aucune raison de prendre ce commentaire au sérieux.
En tant que tel, nous vous recommandons de changer vos mots de passe eBay et PayPal. Assurez-vous que ceux-ci sont différents et ne sont pas les mêmes que ceux utilisés pour les autres comptes en ligne. En outre, tenez compte des conseils d'eBay et adressez-vous à d'autres comptes en ligne que vous avez utilisés avec le même mot de passe. Nos astuces pour créer un mot de passe sécurisé 7 façons de créer des mots de passe sûrs et mémorables 7 façons de créer des mots de passe sûrs et mémorables Avoir un mot de passe différent pour chaque service est un must dans le monde en ligne d'aujourd'hui, mais il y a faiblesse pour les mots de passe générés aléatoirement: il est impossible de se souvenir de tous. Mais comment pouvez-vous vous souvenir ... Lisez plus devrait vous aider ici. Vous pouvez également les stocker dans un service ou une application sécurisée, tel que LastPass.
Aux États-Unis, PayPal propose un système d'authentification à deux facteurs utilisant un petit outil portable pour créer un code. Bien qu'il semble qu'il n'y ait pas de système similaire en place pour eBay, vous pouvez en mettre un sur le site d'enchères après avoir signé pour l'appareil PayPal. La mise en œuvre et la promotion de ces outils ont été médiocres, comme vous pouvez le voir, mais l'authentification à deux facteurs est un must pour tout service en ligne qui stocke des données à votre sujet.
Rappelez-vous, ce sont vos données que eBay admet avoir perdu. Votre nom, adresse, numéro de téléphone, anniversaire ... vous pouvez changer votre mot de passe, mais vous ne pouvez pas les changer.
Cette violation est désastreuse pour eBay
Comme indiqué précédemment, nous pensons que la modification de vos mots de passe et l'adoption de l'authentification à deux facteurs (le cas échéant) pour eBay et PayPal constituent la meilleure solution.
Cependant, si nous considérons le manque d'informations sur la violation, la possibilité d'une attaque interne, le manque de données mises en vente, le potentiel de 30 millions de comptes zombies détruisant la cote de confiance des vendeurs d'eBay et son incapacité à se réinitialiser., il reste une question à poser. Voulez-vous vraiment être membre d'un site Web qui traite les données des utilisateurs et les failles de sécurité de cette manière?
Si vous pensez "mais eBay est le seul site d'enchères décent!", Alors vous avez tout à fait tort, car il existe de nombreuses alternatives que vous devriez consulter Fed Up With eBay? Voici quelques alternatives (moins chères) Digne pour les vendeurs marre d'eBay? Voici quelques alternatives dignes de confiance (et moins cher) pour les vendeurs Lorsque vous voulez vendre votre junk excès en ligne, où allez-vous? Pour la plupart des gens, la seule et unique réponse est eBay. Avec des millions d'utilisateurs quotidiens, il semble logique d'utiliser le ... Lire la suite.
Cependant, nous vous encourageons à réfléchir sérieusement à cette question. Cela pourrait ne pas sauver vos données volées, mais assez de personnes votant avec leurs pieds donneront à d'autres entreprises la possibilité d'agir de manière responsable dans ces situations à l'avenir.
Avez-vous reçu un e-mail d'eBay? Avez-vous déjà changé votre mot de passe? Comment vous sentez-vous à propos de cette violation?
Faites-nous savoir vos pensées dans les commentaires.
Crédit d'image: wk1003mike via Shutterstock.com