La brecha de datos de eBay: lo que necesita saber

Anuncio

Anuncio
Anuncio

En lo que es una de las mayores violaciones de los datos de los usuarios hasta el momento, eBay reveló que en marzo de 2014 sus servidores se vieron comprometidos. Además de confirmar que las cuentas del personal fueron cooptadas y aconsejar a los titulares de cuentas de eBay que cambien sus contraseñas, no revela nada más.

¿Entonces, qué debería hacer? ¿Cambiar su contraseña es suficiente o debería ir más allá? ¿Tal vez sus preocupaciones se extienden a otros servicios propiedad de eBay, más notablemente PayPal?

eBay explica lo que sucedió

En una publicación de blog titulada "eBay Inc. para pedirle a los usuarios de eBay que cambien contraseñas" el miércoles 21 de mayo (después de una publicación de blog vacía anterior que filtró la brecha de seguridad, permitiendo que varias tiendas de noticias saltaran a eBay) anunció el gigante de subastas ese

"... pedirá a los usuarios de eBay que cambien sus contraseñas debido a un ciberataque que pone en peligro una base de datos que contiene contraseñas encriptadas y otros datos no financieros".

El post continúa explicando cómo la compañía (extrañamente escribiendo en tercera persona, indicando falta de aceptación) no ha encontrado evidencia de que la información financiera y de la tarjeta de crédito se haya visto comprometida luego del ataque, que tuvo lugar durante "finales de febrero y principios de marzo". ". La información comprometida incluía el "nombre de los clientes de eBay, contraseña encriptada, dirección de correo electrónico, dirección física, número de teléfono y fecha de nacimiento".

EBay insiste en que se está tomando el asunto en serio y actualmente "trabajando con las fuerzas del orden público y los principales expertos en seguridad, la compañía está investigando agresivamente el asunto y aplicando las mejores herramientas y prácticas forenses para proteger a los clientes".

¿Cómo se comprometió su eBay Data?

Después de haber detectado la violación de seguridad hace dos semanas, eBay mencionó "las credenciales de inicio de sesión de empleado comprometidas" que son las culpables de la intrusión. Luego, una investigación forense "identificó la base de datos de eBay comprometida" donde se almacenan los datos personales, para cada usuario de eBay.

Es posible que desee volver a leer el último párrafo.

CÁMARA DIGITAL OLYMPUS

En este punto, no está claro exactamente cómo se vieron comprometidas las cuentas de los empleados de eBay. Una sugerencia es que pueden haber cometido un ataque de phishing, donde se envió un correo electrónico falso para pedirles que inicien sesión y restablecer su contraseña en un sitio web de aspecto convincente. Una alternativa (y esto no es más que especulaciones, ya que eBay ha aparecido con pocos detalles sobre este deshonroso asunto) es que la violación fue posible gracias a un ataque interno. ¿Podría un empleado haber llevado a cabo esta pausa?

Además, considere la cantidad de cuentas: aparentemente se han robado datos personales de 145 millones de personas. Si esta intrusión fue el resultado de las cuentas de los empleados comprometidas, ¿había una sola persona que tenía acceso a los 145 millones de registros?

La línea de tiempo, mientras tanto, coincide con la tormenta Heartbleed. Peligro confirmado: Heartbleed realmente abre Crypto Keys para hackers. Peligro confirmado: Heartbleed realmente abre claves de cifrado para hackers. Se debate si la nueva vulnerabilidad OpenSSL Heartbleed podría utilizarse para obtener claves privadas de cifrado de servidores y sitios web vulnerables. Cloudflare ha confirmado que las claves de encriptación privadas están en riesgo. Lee mas . En abril, eBay tranquilizó a los usuarios:

1) Tu cuenta de eBay es segura

2) Los detalles de su cuenta de eBay no fueron expuestos en el pasado y siguen siendo seguros

3) No necesita tomar ninguna medida adicional para salvaguardar su información

4) No es necesario cambiar su contraseña

Mientras tanto, el servicio de cambio de contraseña de inicio Passomatic informó que "todos sus socios han hecho la corrección". Entre ellos están eBay ".

¿Podría Heartbleed haber sido la ruta hacia eBay? O, lo que es más embarazoso, ¿podría el enfoque en la vulnerabilidad de OpenSSL haber sido una distracción muy costosa para la casa de subastas en línea?

Tratando con la violación de seguridad

Uno de los aspectos más preocupantes sobre este caso es la línea de tiempo. Parece notable que eBay no detectó la brecha antes, algo que puede indicar una operación de pirateo de habilidades particulares (igualmente, podría significar que la seguridad de la base de datos de eBay no es adecuada para el propósito).

Tras el anuncio, eBay afirmó que "los usuarios recibirán una notificación por correo electrónico, las comunicaciones del sitio y otros canales de comercialización para cambiar su contraseña". Sin embargo, hasta el momento no ha habido informes de correos electrónicos recibidos, y solo las redes sociales emiten avisos.

muo-ebay-data-breach-paypal

Lo que quizás no sepa acerca de eBay, Inc. es que no solo posee el popular sitio de subastas en línea www.ebay.com y sus variantes internacionales, sino que también posee PayPal.

Los lanzamientos sin detalles y sin complejos de eBay no les hacen ningún favor. Si bien afirman que sus otros negocios no se ven afectados por esta violación, el hecho es que a menos que eBay demuestre que lo saben con certeza, no hay manera de que podamos confiar en esta afirmación.

Al ser realista, esta es una brecha de seguridad de proporciones catastróficas. El volumen y la profundidad de los datos robados de las cuentas no tiene precedentes.

Para empeorar las cosas, los correos electrónicos de phishing ahora están llegando a bandejas de entrada en todo el mundo ya que los estafadores intentan sacar provecho de la violación (aunque un aspecto inusual del caso es que los datos aún no han aparecido en el lado oscuro de Internet, lo que lleva a una especulación desinformada de que la brecha es poco más que un ejercicio de relaciones públicas).

muo-ebay-data-breach-no-warning

El límite superior de la pantalla se tomó el miércoles 21 de mayo, el día en que se divulgó la filtración. ¡No hay advertencias o consejos para encontrar!

Algunas otras cosas que deberías considerar. A partir de enero de 2013, había 112, 3 millones de usuarios activos en todo el mundo; Se dice que se robaron 145 millones de registros. Esto deja el potencial de alrededor de 30 millones de cuentas no utilizadas para ser secuestradas, más que suficiente para destruir las calificaciones internas de eBay y el sistema de confianza si los hackers así lo eligen. La confianza es la clave del modelo comercial de eBay, y sin él, sus días podrían estar contados.

Luego está la solicitud para que las personas cambien sus contraseñas. El sitio ya ha experimentado problemas de rendimiento después de las noticias de la violación a medida que los usuarios acudían a eBay para comenzar a cambiar las contraseñas.

así que se nos aconseja cambiar nuestra contraseña de eBay porque ha sido pirateada ... pero no puedo debido al alto tráfico. guay.

- Angela (@CRiSPilyMEEE) 22 de mayo de 2014

@eBay_UK restablecimiento de contraseña no funciona No podemos cambiar las contraseñas en ninguna de nuestras cuentas, envía el enlace de restablecimiento de correo electrónico pero sigue repitiendo

- Nivel 1 en línea (@ tier1online) 22 de mayo de 2014

Eso es si los usuarios pueden incluso encontrar la opción de cambio de contraseña (sugerencia: haga clic en el botón ¿ Olvidó su contraseña? Para ahorrar tiempo).

¿Cómo demonios cambias tu contraseña de eBay? La IU es atroz. Ping @stilgherrian

- Justin Warren (@jpwarren) 21 de mayo de 2014

La pregunta sobre los datos financieros: ¿Son seguros los datos de su tarjeta?

EBay insiste en que no se han comprometido datos financieros o de tarjetas de crédito, solo nombres de usuario, contraseñas y direcciones de correo electrónico.

Este es un intento de control de daños, sin embargo, para minimizar la indignación.

Digamos que quería acceder a los detalles de su tarjeta eBay, ¿qué haría? Inicie sesión o, por supuesto, con su nombre de usuario y contraseña. Aunque el número de la tarjeta quedará oscurecido (excepto los últimos cuatro dígitos), existe información potencialmente suficiente para proporcionarle a un hacker lo que necesita, desde la fecha de caducidad de la tarjeta hasta la confirmación del tipo de tarjeta, con qué frecuencia la ha usado. Esta información es ciertamente suficiente para elegir a una persona como objetivo, y si se hace una referencia cruzada con otras cuentas, posiblemente más.

Recuerde, su identidad en línea es básicamente un conjunto de datos de su identidad física. Cada elemento - nombre, fecha de nacimiento, dirección - es como un rompecabezas. A medida que se encuentran más piezas, emerge una imagen más amplia de quién eres.

¿Qué debe hacer para proteger sus datos?

eBay ha declarado que sus negocios se mantienen separados. La consecuencia de esto debería ser que los datos de PayPal se mantienen completamente aislados de los datos de eBay.

Sin embargo, como la empresa no ha tenido claro cómo se produjo la violación y qué empleados se vieron afectados, no hay ninguna razón para tomar en serio este comentario.

muo-ebay-data-breach-login

Como tal, le recomendamos que cambie sus contraseñas de eBay y PayPal. Asegúrese de que estos sean diferentes y no sean los mismos que los utilizados para otras cuentas en línea. Además, preste atención a los consejos de eBay y diríjase a otras cuentas en línea que tenga que usaron la misma contraseña. Nuestros consejos para crear una contraseña segura 7 Formas de recuperar contraseñas que son tanto seguras como memorables 7 maneras de recuperar contraseñas que son tanto seguras como memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero hay una terrible debilidad a las contraseñas generadas al azar: es imposible recordarlas todas. Pero ¿cómo puedes recordar ... Leer más debería ayudarte aquí. También puede almacenarlos en un servicio o aplicación segura como LastPass.

En los EE. UU., PayPal ofrece un sistema de autenticación de dos factores que utiliza una pequeña herramienta de mano para crear un código. Si bien parece que no existe un sistema similar para eBay, de hecho puede obtener uno para el sitio de subastas después de que se haya registrado en el dispositivo de PayPal. La implementación y promoción de estas herramientas ha sido pobre, como puede ver, pero la autenticación de dos factores es imprescindible para cualquier servicio en línea que almacene datos sobre usted.

Recuerde, estos son sus datos que eBay está admitiendo haber perdido. Su nombre, dirección, número de teléfono, fecha de cumpleaños ... puede cambiar su contraseña, pero no puede cambiarla.

Esta brecha es desastrosa para eBay

Como se indicó anteriormente, creemos que cambiar las contraseñas y adoptar la autenticación de dos factores (donde esté disponible) para eBay y PayPal es la mejor opción.

Sin embargo, si consideramos la falta de información sobre la violación, la posibilidad de un ataque interno, la falta de datos para vender, la posibilidad de que 30 millones de cuentas zombis destruyan la calificación de confianza del vendedor de eBay y su incapacidad para hacer frente a restablecimientos de contraseñas, queda una pregunta que debe hacerse. ¿De verdad quieres ser miembro de un sitio web que trata los datos del usuario y las violaciones de seguridad de esta manera?

Si estás pensando "¡pero eBay es el único sitio de subastas decente!", Entonces estás completamente equivocado, ya que hay muchas alternativas que debes consultar Fed Up With eBay? Aquí hay algunas alternativas valiosas (y más baratas) para los vendedores que están hartos de eBay. Aquí hay algunas alternativas valiosas (y más baratas) para los vendedores Cuando quieres vender tu exceso de basura en línea, ¿a dónde vas? Para la mayoría de las personas, la única respuesta es eBay. Con millones de usuarios diarios, parece lógico usar el ... Leer más.

Sin embargo, le recomendamos que piense seriamente en este asunto. Puede que no guarde sus datos robados, pero suficientes personas que voten con sus pies le darán a otras empresas la oportunidad de actuar responsablemente en estas situaciones en el futuro.

¿Has recibido un correo electrónico de eBay? ¿Ya cambiaste tu contraseña? ¿Cómo te sientes acerca de esta violación?

Háganos saber sus pensamientos en los comentarios.

Crédito de la imagen: wk1003mike a través de Shutterstock.com

In this article