Gigant eBay, sklep online i portal aukcyjny, przyznał, że doszło do skompromitowania bazy zaszyfrowanych haseł użytkowników i innych wrażliwych informacji. Firma miała skontaktować się z użytkownikami poprzez pocztę e-mail oraz umieścić notatkę na swojej stronie. Wkrótce po incydencie użytkownicy mieli być zmuszeni do zmiany swojego hasła w tym serwisie.
Firma nie wierzy, że w wyniku włamania doszło do jakiejś nieautoryzowanej aktywności na kontach użytkowników. Co więcej, eBay Inc. twierdzi, że dane finansowe użytkowników oraz informacje związane z PayPalem nie są zagrożone, ponieważ również są one szyfrowane i przechowywane na oddzielnych serwerach, które pozostały nienaruszone.
„Atakujący uzyskali niewielką liczbę danych logowania pracowników, które umożliwiały uzyskanie nieautoryzowanego dostępu do sieci korporacyjnej eBay” – napisała w oświadczeniu firma. „Wspólnie z organami prawa i czołowymi ekspertami bezpieczeństwa firma prowadzi intensywne śledztwo w tej sprawie, stosując najlepsze narzędzia kryminalistyczne i praktyki w celu ochrony swoich klientów”.
Felerna baza danych zawierała nazwy użytkowników serwisu eBay, zaszyfrowane hasła, adresy e-mail, adresy fizyczne, numery telefonów i daty urodzenia. Serwis oświadczył, że dwa tygodnie temu zorientował się, że wyciekły dane logowania pracowników. Od tamtego czasu firmie udało się zidentyfikować tę bazę i zdecydowała skontaktować się z odpowiednimi użytkownikami.
Właściciele kont na eBay’u powinni otrzymać od firmy powiadomienie pocztą elektroniczną. eBay miał umieścić także odpowiednią informację na swojej stronie.
Użytkownicy ewentualnie mogą być zmuszeni do zmiany swojego hasła oraz są zachęcani do jego zmiany także w innych serwisach, jeśli go tam używają. Trey Ford, globalny strateg bezpieczeństwa w firmie bezpieczeństwa Rapid7, zauważył, że hasła te mogą zostać odszyfrowane i z tego powodu tak ważne jest, aby użytkownicy zmienili je wszędzie tam, gdzie jest taka konieczność.
To jest kolejny przykład na to, że nigdy nie wolno powielać swoich haseł. Gdy wydarzy się taki wyciek taki jak ten, atakujący tworzą zautomatyzowane narzędzia, które wprowadzają kombinacje uzyskanych nazw użytkowników i haseł do popularnych serwisów online, próbując włamać się na konta na kolejnych serwisach.
„Użytkownicy powinni być czujni, gdy ktoś się z nimi kontaktuje w tej sprawie w imieniu serwisu eBay lub innej firmy” – zauważa Ford. „Można spodziewać się wzrostu wiadomości phishingowych, więc nie należy klikać odnośników umieszczonych w wiadomościach ani rozmawiać o tym z nikim przez telefon”.
Szczególnie istotne jest, aby upewnić się, że wchodzisz bezpośrednio na stronę eBay, gdy będziesz chciał zmienić hasło. Nie powinieneś zmieniać swojego hasła przy pomocy odnośnika w wiadomości elektronicznej. Ponieważ wiadomość ta staje się coraz bardziej rozpowszechniona, hakerzy prawdopodobnie rozpoczną przeprowadzać ataki phishingowe – rzekomo pochodzące od eBay’a i być może także od PayPala. Wiadomości te ogólnie zawierają linki prowadzące do szkodliwych stron, które wyglądają jak legalne. Teoretycznie będą one umożliwiały zresetowanie hasła, ale w rzeczywistości często mają za zadanie sprawić, by użytkownik podał informacje logowania.