La violation de données eBay Ce que vous devez savoir
EBay a révélé qu'en mars 2014, ses serveurs avaient été compromis. À part confirmer que les comptes du personnel ont été cooptés et conseiller aux titulaires de comptes eBay de modifier leurs mots de passe, cela ne révèle rien d'autre.
Alors, que devrais-tu faire? Changer votre mot de passe suffit-il ou devriez-vous aller plus loin? Peut-être que vos préoccupations s’étendent à d’autres services appartenant à eBay, notamment PayPal.?
eBay explique ce qui s'est passé
Dans un article de blog intitulé “eBay Inc. Pour demander aux utilisateurs eBay de changer les mots de passe” le mercredi 21 maist (suite à un précédent article de blog vide qui a révélé une brèche dans la sécurité, permettant à plusieurs organes de presse de faire le saut sur eBay), le géant de la vente aux enchères a annoncé que
“… Il demandera aux utilisateurs eBay de modifier leurs mots de passe en raison d'une cyberattaque qui aurait compromis une base de données contenant des mots de passe cryptés et d'autres données non financières.”
La poste explique ensuite comment la société (écrit étrangement à la troisième personne, indiquant un manque d’acceptation) n’a trouvé aucune preuve que des informations financières et de carte de crédit aient été compromises à la suite de l’attentat qui a eu lieu “fin février et début mars”. Informations compromises incluses “Nom des clients eBay, mot de passe crypté, adresse électronique, adresse physique, numéro de téléphone et date de naissance.”
EBay insiste sur le fait qu’il prend la question au sérieux et est actuellement “Travaillant avec les forces de l'ordre et des experts en sécurité de premier plan, la société mène une enquête approfondie sur le sujet et applique les meilleurs outils et pratiques en matière de criminalistique pour protéger ses clients..”
Comment vos données eBay ont-elles été compromises??
Après avoir détecté la violation de la sécurité il y a environ deux semaines, eBay a mentionné “les identifiants de connexion des employés compromis” qui sont à blâmer pour l'intrusion. Une enquête médico-légale alors “identifié la base de données eBay compromise” où les données personnelles - pour chaque utilisateur eBay - sont stockées.
Vous voudrez peut-être relire ce dernier paragraphe.
À ce stade, on ne sait pas exactement comment les comptes des employés eBay ont été compromis. Une suggestion est qu’ils ont peut-être été victimes d’une attaque de phishing, où un faux email leur a été envoyé leur demandant de se connecter et de réinitialiser leur mot de passe sur un site Web à l’air convaincant. Une alternative - et ce ne sont que des spéculations car eBay a été publié avec peu de détails sur cette affaire honteuse - est que la violation a été rendue possible par une attaque interne. Un employé aurait-il pu effectuer cette pause??
Considérons également le nombre de comptes: des données personnelles de 145 millions de personnes ont apparemment été volées. Si cette intrusion résultait de la compromission de comptes d'employés, y avait-il une seule personne qui avait accès aux 145 millions d'enregistrements??
Pendant ce temps, la chronologie coïncide avec la tempête Heartbleed. Danger confirmé: Heartbleed ouvre véritablement les clés cryptographiques aux pirates informatiques. Danger confirmé: Heartbleed ouvre véritablement les clés cryptographiques aux pirates informatiques. clés de chiffrement privées de serveurs et de sites Web vulnérables. Cloudflare a confirmé que les clés de chiffrement privées sont en danger. Lire la suite . En avril, eBay a rassuré les utilisateurs:
1) Votre compte eBay est sécurisé
2) Les détails de votre compte eBay n'ont pas été révélés dans le passé et restent sécurisés.
3) Aucune action supplémentaire n'est nécessaire pour protéger vos informations.
4) Il n'est pas nécessaire de changer votre mot de passe
Pendant ce temps, le service de changement de mot de passe de démarrage Passomatic a signalé que “tous ses partenaires ont résolu le problème. Parmi eux sont eBay.”
Heartbleed aurait-il pu être la voie vers eBay? Ou, plus embarrassant encore, l’attention portée à la vulnérabilité OpenSSL pourrait s’avérer une distraction très coûteuse pour la maison de vente aux enchères en ligne.?
Faire face à la faille de sécurité
L'un des aspects les plus préoccupants de cette affaire est la chronologie. Il semble remarquable qu'eBay n'ait pas détecté la violation plus tôt, ce qui peut indiquer une opération de piratage d'une compétence particulière (cela pourrait également signifier que la sécurité de la base de données d'eBay n'est pas adaptée à son objectif)..
Après l'annonce, eBay a affirmé que “les utilisateurs seront avertis par e-mail, par le biais des communications du site et d'autres canaux marketing pour modifier leur mot de passe”. Cependant, jusqu'à présent, aucun courrier électronique n'a été reçu et seuls les réseaux sociaux ont émis des avis..
Ce que vous ne savez peut-être pas à propos d’eBay, Inc., c’est qu’il est non seulement propriétaire du populaire site de vente aux enchères en ligne www.ebay.com et de ses variantes internationales, mais également de PayPal..
Les publications peu détaillées et sans vergogne d'eBay ne leur sont d'aucune utilité. Bien qu'ils prétendent que leurs autres activités ne sont pas affectées par cette violation, le fait est que, à moins qu'eBay ne le prouve, il n'existe aucun moyen de nous fier à cette affirmation..
Pour être réaliste, il s'agit d'une atteinte à la sécurité aux proportions cataclysmiques. Le volume et la profondeur des données volées des comptes est sans précédent.
Pour aggraver les choses, des courriels de phishing arrivent maintenant dans les boîtes de réception du monde entier alors que les fraudeurs tentent de tirer profit de la violation (bien qu'un aspect inhabituel de l'affaire menant à des spéculations non informées que la violation est un peu plus qu'un exercice de relations publiques).
La copie d'écran ci-dessus a été prise le mercredi 21 mai, jour de l'annonce de la fuite. Aucun avertissement ou conseil à trouver!
Quelques autres choses que vous devriez considérer. En janvier 2013, il y avait 112,3 millions d'utilisateurs actifs dans le monde. 145 millions de disques auraient été volés. Cela laisse environ 30 millions de comptes inutilisés susceptibles d'être piratés, ce qui est largement suffisant pour détruire les évaluations internes et le système de confiance d'eBay si les pirates informatiques le souhaitent. La confiance est la clé du modèle économique d’eBay. Sans elle, ses jours pourraient être numérotés..
Il y a ensuite la demande faite aux gens de changer leurs mots de passe. Le site a déjà rencontré des problèmes de performances suite à l'annonce de la violation, alors que les utilisateurs se rendaient sur eBay pour commencer à modifier les mots de passe..
il nous est donc conseillé de changer notre mot de passe ebay car il a été piraté… mais je ne le peux pas à cause du trafic important. cool.
- Angela (@CRiSPilyMEEE) 22 mai 2014
@eBay_UK La réinitialisation du mot de passe ne fonctionne pas. Nous ne pouvons pas modifier les mots de passe de l'un de nos comptes. Le lien de réinitialisation de l'e-mail est envoyé mais la boucle continue.
- Niveau 1 en ligne (@ tier1online) 22 mai 2014
Si les utilisateurs peuvent même trouver l’option de changement de mot de passe (indice: cliquez sur le bouton Mot de passe oublié? bouton pour gagner du temps).
La question des données financières: les détails de votre carte sont-ils en sécurité??
EBay insiste sur le fait qu’aucune donnée financière ou de carte de crédit n’a été compromise, mais uniquement des noms d’utilisateur, des mots de passe et des adresses électroniques..
Ceci est une tentative de contrôle des dommages, cependant, pour minimiser l'indignation.
Supposons que vous souhaitiez accéder aux détails de votre carte eBay, que feriez-vous? Connectez-vous, ou bien sûr, avec votre nom d'utilisateur et votre mot de passe. Bien que le numéro de carte soit en grande partie masqué (à l'exception des quatre derniers chiffres), il contient potentiellement suffisamment d'informations pour permettre à un pirate informatique de trouver ce dont il a besoin, de la date d'expiration de la carte à la confirmation du type de votre carte, à quelle fréquence. Cette information est certainement suffisante pour choisir une personne comme cible et, si elle est référencée avec d'autres comptes, éventuellement plus..
N'oubliez pas que votre identité en ligne est fondamentalement un ensemble de données de votre identité physique. Chaque élément - nom, date de naissance, adresse - ressemble à un puzzle. Au fur et à mesure que plus de morceaux sont trouvés, une plus grande image de qui vous êtes émerge.
Ce que vous devez faire pour protéger vos données?
eBay a déclaré que ses activités sont toutes séparées. Cela devrait impliquer que les données PayPal soient complètement isolées des données eBay..
Toutefois, l'entreprise ne sachant pas comment s'est produite la violation et quels employés ont été affectés, il n'y a aucune raison de prendre ce commentaire au sérieux..
Nous vous recommandons donc de changer vos mots de passe eBay et PayPal. Assurez-vous qu'ils sont différents et différents de ceux utilisés pour d'autres comptes en ligne. En outre, tenez compte des conseils d’eBay et adressez-vous à d’autres comptes en ligne utilisant le même mot de passe. Nos conseils pour créer un mot de passe sécurisé 7 façons de créer des mots de passe sécurisés et mémorables 7 façons de créer des mots de passe sécurisés et mémorables Avoir un mot de passe différent pour chaque service est indispensable dans le monde en ligne actuel, mais il faiblesse des mots de passe générés aléatoirement: il est impossible de tous les mémoriser. Mais comment pouvez-vous vous en souvenir… Read More devrait vous aider ici. Vous pouvez également les stocker dans un service sécurisé ou une application telle que LastPass..
Aux États-Unis, PayPal propose un système d'authentification à deux facteurs utilisant un petit outil de poche pour créer un code. Bien qu’il semble qu’aucun système similaire n’ait été mis en place pour eBay, vous pouvez en obtenir un pour le site de vente aux enchères une fois que vous vous êtes inscrit au dispositif PayPal. Comme vous pouvez le constater, la mise en œuvre et la promotion de ces outils ont été médiocres, mais une authentification à deux facteurs est indispensable pour tout service en ligne qui stocke des données vous concernant..
N'oubliez pas qu'il s'agit de vos données qu'eBay admet avoir perdues. Votre nom, adresse, numéro de téléphone, anniversaire… vous pouvez changer votre mot de passe, mais vous ne pouvez pas le changer.
Cette brèche est désastreuse pour eBay
Comme indiqué précédemment, nous pensons que la meilleure solution consiste à changer vos mots de passe et à adopter une authentification à deux facteurs (le cas échéant) pour eBay et PayPal..
Cependant, si nous considérons le manque d'informations sur la violation, la possibilité d'une attaque interne, le manque de données mises en vente, le potentiel de 30 millions de comptes zombies détruisant la note de confiance du vendeur d'eBay et son incapacité à faire face aux réinitialisations de mot de passe , il reste une question à poser. Voulez-vous vraiment être membre d'un site Web qui traite les données des utilisateurs et les atteintes à la sécurité de cette manière?
Si vous pensez “mais eBay est le seul site de vente aux enchères décent!” alors vous avez tout à fait tort, car il existe de nombreuses alternatives que vous devriez vérifier Fed Up With eBay? Voici quelques alternatives intéressantes (et moins chères) pour les vendeurs qui en ont marre d'eBay? Voici quelques alternatives intéressantes (et moins chères) pour les vendeurs Lorsque vous souhaitez vendre vos excédents en ligne, où allez-vous? Pour la plupart des gens, la seule et unique réponse est eBay. Avec des millions d'utilisateurs quotidiens, il semble seulement logique d'utiliser… Read More .
Cependant, nous vous encourageons à réfléchir sérieusement à cette question. Vos données volées ne seront peut-être pas sauvegardées, mais si vous votez du pied droit, cela donnera à d'autres entreprises le droit d'agir de manière responsable dans de telles situations à l'avenir.
Avez-vous reçu un email d'eBay? Avez-vous déjà changé votre mot de passe? Que pensez-vous de cette brèche?
Faites-nous savoir vos pensées dans les commentaires.
Crédit d'image: wk1003mike via Shutterstock.com
En savoir plus sur: eBay, sécurité en ligne, PayPal.