La violación de datos de eBay lo que necesita saber

En lo que es uno de los mayores incumplimientos de datos de usuarios, eBay ha revelado que en marzo de 2014 sus servidores se vieron comprometidos. Además de confirmar que las cuentas del personal fueron elegidas y asesorar a los titulares de las cuentas de eBay para que cambien sus contraseñas, no revela nada más..

¿Entonces, qué debería hacer? ¿Es suficiente cambiar tu contraseña o debes ir más lejos? Tal vez sus preocupaciones se extiendan a otros servicios propiedad de eBay, especialmente PayPal?

eBay explica qué sucedió

En una entrada de blog encabezada. “eBay Inc. le pide a los usuarios de eBay que cambien las contraseñas” el miercoles 21 de mayo^{S t} (tras una publicación anterior en un blog vacío que filtró la brecha de seguridad, permitiendo que varios medios de noticias obtuvieran el salto en eBay) el gigante de las subastas anunció que

“… Pedirá a los usuarios de eBay que cambien sus contraseñas debido a un ataque cibernético que comprometió una base de datos que contiene contraseñas cifradas y otros datos no financieros.”

La publicación continúa explicando cómo la compañía (extrañamente escribiendo en tercera persona, indicando una falta de aceptación) no ha encontrado evidencia de que la información financiera y de la tarjeta de crédito se haya comprometido después del ataque, que tuvo lugar durante “finales de febrero y principios de marzo”. Información comprometida incluida “Nombre de los clientes de eBay, contraseña encriptada, dirección de correo electrónico, dirección física, número de teléfono y fecha de nacimiento.”

EBay insiste en que se está tomando el asunto en serio y actualmente está “Trabajando con agentes de la ley y expertos en seguridad líderes, la compañía está investigando agresivamente el asunto y aplicando las mejores herramientas y prácticas forenses para proteger a los clientes..”

¿Cómo se comprometieron sus datos de eBay??

Habiendo detectado la brecha de seguridad hace aproximadamente dos semanas, eBay hizo mención de “las credenciales de inicio de sesión del empleado comprometidas” Los cuales son los culpables de la intrusión. Una investigación forense entonces. “identificado la base de datos comprometida de eBay” donde se almacenan los datos personales, para cada usuario de eBay.

Es posible que desee volver a leer ese último párrafo.

En este punto, no está claro exactamente cómo se comprometieron las cuentas de los empleados de eBay. Una sugerencia es que pueden haber cometido un ataque de phishing, donde se envió un correo electrónico falso en el que se les pedía que iniciaran sesión y restablecieran su contraseña en un sitio web de apariencia convincente. Una alternativa, y esto no es más que una especulación ya que eBay ha aparecido con pocos detalles sobre este asunto vergonzoso, es que la violación fue posible gracias a un ataque interno. ¿Podría un empleado haber llevado a cabo esta interrupción en?

Además, tenga en cuenta el número de cuentas: los datos personales de 145 millones de personas aparentemente han sido robados. Si esta intrusión fue el resultado de que las cuentas de los empleados estuvieran comprometidas, ¿habría una sola persona que tuviera acceso a todos los 145 millones de registros??

La línea de tiempo, mientras tanto, coincide con la tormenta Heartbleed Peligro confirmado: Heartbleed realmente abre las claves criptográficas a los hackers Peligro confirmado: Heartbleed realmente abre las claves criptográficas a los hackers El debate es sobre si la nueva vulnerabilidad OpenSSL Heartbleed podría utilizarse para obtener Claves de cifrado privadas de servidores y sitios web vulnerables. Cloudflare ha confirmado que las claves de cifrado privadas están en riesgo. Lee mas . En abril, eBay tranquilizó a los usuarios:

1) Su cuenta de eBay es segura

2) Los detalles de su cuenta de eBay no fueron expuestos en el pasado y permanecen seguros

3) No necesita tomar ninguna acción adicional para salvaguardar su información

4) No hay necesidad de cambiar tu contraseña

Mientras tanto, el servicio de cambio de contraseña de inicio Passomatic informó que “Todos sus socios han hecho la corrección. Entre ellos están eBay.”

¿Podría Heartbleed haber sido la ruta hacia eBay? O más vergonzosamente, ¿podría el foco en la vulnerabilidad OpenSSL resultar una distracción muy costosa para la casa de subastas en línea??

Tratar con la brecha de seguridad

Uno de los aspectos más preocupantes de este caso es la línea de tiempo. Parece notable que eBay no detectó la violación antes, algo que puede indicar una operación de piratería con una habilidad particular (igualmente, podría significar que la seguridad de la base de datos de eBay no es apta para el propósito).

Tras el anuncio, eBay afirmó que “Los usuarios serán notificados por correo electrónico, comunicaciones del sitio y otros canales de comercialización para cambiar su contraseña”. Sin embargo, hasta el momento no se han recibido informes de que se hayan recibido correos electrónicos y solo se han enviado avisos a las redes sociales..

Lo que quizás no sepa sobre eBay, Inc. es que no solo posee el popular sitio de subastas en línea www.ebay.com y sus variantes internacionales, sino que también posee PayPal..

Los lanzamientos de detalles limitados y sin disculpas de eBay no les hacen ningún favor. Si bien afirman que sus otras empresas no se ven afectadas por este incumplimiento, el hecho es que, a menos que eBay demuestre que lo saben con seguridad, no hay forma de que podamos confiar en esta afirmación..

Siendo realistas, esto es una violación de seguridad de proporciones cataclísmicas. El volumen y la profundidad de los datos robados de las cuentas no tiene precedentes.

Para empeorar las cosas, los correos electrónicos de phishing ahora están llegando a las bandejas de entrada de todo el mundo cuando los estafadores intentan sacar provecho de la violación (aunque un aspecto inusual en el caso es que los datos aún no han aparecido en el lado más oscuro de Internet, lo que lleva a algunas especulaciones no informadas de que la violación es poco más que un ejercicio de relaciones públicas.)

La tapa de la pantalla de arriba se tomó el miércoles 21 de mayo, cuando se rompió la noticia del día de la fuga. No hay advertencias o consejos que se encuentran!

Algunas otras cosas que debes considerar. A enero de 2013 había 112.3 millones de usuarios activos en todo el mundo; Se dice que se robaron 145 millones de registros. Esto deja el potencial de alrededor de 30 millones de cuentas no utilizadas para ser secuestradas, más que suficiente para destruir las calificaciones internas y el sistema de confianza de eBay si los hackers así lo deciden. La confianza es clave para el modelo de negocio de eBay, y sin él, sus días podrían estar contados.

Luego está la solicitud para que las personas cambien sus contraseñas. El sitio ya ha experimentado problemas de rendimiento tras las noticias de la infracción a medida que los usuarios acudían a eBay para comenzar a cambiar las contraseñas..

por lo que se nos recomienda cambiar nuestra contraseña de eBay porque ha sido pirateada ... pero no puedo debido al alto tráfico. guay.

- Angela (@CRiSPilyMEEE) 22 de mayo de 2014

@eBay_UK restablecimiento de contraseña no funciona, no podemos cambiar las contraseñas en ninguna de nuestras cuentas, envía el enlace de restablecimiento de correo electrónico pero se mantiene en bucle

- Nivel 1 en línea (@ tier1online) 22 de mayo de 2014

Eso es si los usuarios pueden incluso encontrar la opción de cambio de contraseña (sugerencia: haga clic en Olvidaste tu contraseña? botón para ahorrar tiempo).

La pregunta de datos financieros: ¿Son seguros los detalles de su tarjeta??

EBay insiste en que no se ha comprometido ningún dato financiero o de tarjeta de crédito, solo nombres de usuario, contraseñas y direcciones de correo electrónico.

Este es un intento de controlar el daño, sin embargo, para minimizar la indignación.

Digamos que querías acceder a los detalles de tu tarjeta de eBay, ¿qué harías? Inicia sesión, o curso, con tu nombre de usuario y contraseña. Si bien el número de la tarjeta quedará en gran parte oculto (a excepción de los cuatro dígitos finales), aquí hay potencialmente suficiente información para proporcionarle a un pirata informático lo que necesitan, desde la fecha de vencimiento de la tarjeta hasta la confirmación de su tipo de tarjeta, con qué frecuencia la ha usado. Esta información es ciertamente suficiente para seleccionar a un individuo como objetivo, y si se hace una referencia cruzada con otras cuentas, posiblemente más.

Recuerde, su identidad en línea es básicamente un conjunto de datos de su identidad física. Cada elemento (nombre, fecha de nacimiento, dirección) es como un rompecabezas. A medida que se encuentran más piezas, surge una imagen más grande de quién eres..

Qué debe hacer para proteger sus datos?

eBay ha declarado que sus negocios se mantienen separados. La implicación de esto debería ser que los datos de PayPal se mantengan completamente aislados de los datos de eBay..

Sin embargo, como la compañía no ha estado clara sobre cómo ocurrió la violación y qué empleados se vieron afectados, no hay razón para tomarse en serio este comentario..

Como tal, le recomendamos que cambie sus contraseñas de eBay y PayPal. Asegúrese de que sean diferentes y que no sean los mismos que se utilizan para otras cuentas en línea. Además, preste atención al consejo de eBay y diríjase a otras cuentas en línea que tenga que usaron la misma contraseña. Nuestros consejos para crear una contraseña segura 7 maneras de crear contraseñas que sean seguras y memorables 7 maneras de inventar contraseñas que sean seguras y memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero hay una terrible debilidad a las contraseñas generadas aleatoriamente: es imposible recordarlas todas. Pero, ¿cómo es posible que recuerdes… Leer más debería ayudarte aquí? También puede almacenar estos en un servicio o aplicación segura como LastPass.

En los Estados Unidos, PayPal ofrece un sistema de autenticación de dos factores que utiliza una pequeña herramienta de mano para crear un código. Si bien parece que no existe un sistema similar para eBay, de hecho, puede obtener uno para el sitio de subastas después de haberse registrado en el dispositivo PayPal. La implementación y promoción de estas herramientas ha sido deficiente, como puede ver, pero la autenticación de dos factores es una necesidad para cualquier servicio en línea que almacena cualquier información sobre usted..

Recuerda, estos son tus datos que eBay admite haber perdido. Su nombre, dirección, número de teléfono, fecha de nacimiento ... puede cambiar su contraseña, pero no puede cambiarla.

Esta violación es desastrosa para eBay

Como se indicó anteriormente, creemos que cambiar sus contraseñas y adoptar la autenticación de dos factores (donde esté disponible) para eBay y PayPal es el mejor curso de acción..

Sin embargo, si consideramos la falta de información sobre la violación, la posibilidad de un ataque interno, la falta de información puesta a la venta, el potencial de 30 millones de cuentas zombis que destruyen la calificación de confianza del vendedor de eBay y su incapacidad para hacer frente a los restablecimientos de contraseñas , queda una pregunta por hacer. ¿Realmente desea ser miembro de un sitio web que trata los datos de los usuarios y las violaciones de seguridad de esta manera??

Si estas pensando “Pero eBay es el único sitio de subastas decente.!” entonces estás muy equivocado, ya que hay muchas alternativas que deberías revisar Fed Up With eBay? ¿Aquí están algunas alternativas dignas (y más baratas) para los vendedores harto de eBay? Aquí hay algunas alternativas dignas (y más baratas) para los vendedores Cuando quiere vender su exceso de basura en línea, ¿a dónde va? Para la mayoría de las personas, la única respuesta es eBay. Con millones de usuarios diarios, solo parece lógico usar el ... Leer más .

Sin embargo, le recomendamos que reflexione seriamente sobre este asunto. Puede que no guarde sus datos robados, pero suficientes personas que voten con el pie darán a otras compañías motivos para actuar responsablemente en estas situaciones en el futuro.

¿Has recibido un correo electrónico de eBay? ¿Ya has cambiado tu contraseña? ¿Cómo te sientes acerca de esta violación??

Háganos saber sus pensamientos en los comentarios..

Crédito de la imagen: wk1003mike a través de Shutterstock.com

Explorar más sobre: ​​eBay, seguridad en línea, PayPal.