כשאיביי הודתה ביום רביעי שהיא הייתה קורבן למתקפת סייבר, החברה שאלה את כל 145 מיליון המשתמשים הפעילים שלהכדי לשנות את הסיסמאות שלהם. אבל לפולשים הייתה גישה למאגר לקוחות שכלל גם מידע אישי אחר, כולל שמות, כתובות דואר ותאריכי לידה - נתונים שלא ניתן לשנות בקלות כל כך.

החדשות הטובות הן שאיביי אומרששום מידע פיננסי או כרטיס אשראי לא נפגע. נתונים פיננסיים אוחסנו במערכות נפרדות, ו-eBay טוענת שאין ראיות לכך שנתוני PayPal נפגעו. החדשות הרעות הן שהנתונים שנפגעו עדיין היו חשובים.

ראה גם:

נציגי EBay אמרו ל-Mashable שלחברה אין מושג כמה מתוך 145 מיליון החשבונות הפעילים שלה נראו על ידי הפולשים. עוד מיליוני חשבונות לא פעילים עלולים להיות מושפעים.

מהחברה נמסר כי המתקפה התרחשה בין סוף פברואר למרץ, וכי המידע הבא נגיש להאקרים:

שם לקוח סיסמה מוצפנת כתובת דוא"ל כתובת פיזית מספר טלפון תאריך לידה

זה הרבה מידע חשוב. למעשה, כמו ההתקפה נגדכתב קווי מט חונןהוכח, גישה למעט מידע אישי - כמו מספר טלפון, אימייל וכתובת פיזית - בשילוב עם הנדסה חברתית מיושנת וטובה יכולה להוביל לכמויות אדירות של נזק.

שאלות רבות לאיפוס סיסמה כוללות יום הולדת, מספר טלפון וכתובת פיזית. לכל הפחות, מידע מסוג זה יקל על פושעים המנסים לעקוף את הגדרות האבטחה. זה יכול לשמש גם כדי לסייע בתוכניות גניבת זהות.

כבר עכשיו, כפי שמציין החוקר אשקן סולטני, לפחות אדם אחד טוען שכןמכירת מסד הנתונים של המשתמשים לכאורה. האדם המדובר רוצה 1.453 BTC (כ-$753) בתמורה לגישה ל-145,312,663 רשומות ייחודיות לכאורה. אבל נראה שזה מזויף, על סמך התגובה של eBay:

@ashk4nרשימות שפורסמו שבדקנו עד כה אינן חשבונות eBay אותנטיים. אנו עדיין מעודדים משתמשים ללכת ל-eBay כדי לשנות סיסמאות.- eBay Inc. (@ebayinc)22 במאי 2014

ובכל זאת, סביר יותר מאשר לא שלפחות חלק מהמידע הגנוב יעשה את דרכו לשווקים מחתרתיים שונים העוסקים בהחלפת נתונים אישיים.

היו מודעים להונאות דוא"ל וטלפון

כתב אבטחהבריאן קרבסאומר שזה די סביר שכתובות האימייל ברשימה זו יקבלו יותר דואר זבל. הוא אומר שספאם "ככל הנראה יכלול התקפות דיוג שמטרתן גניבת פרטי התחברות ו/או הפצת תוכנות זדוניות".

קרבס מאמין שסוג זה של מסד נתונים יהיה "מכרה זהב לאמני הונאה מבוססי טלפון".

מוסיף קרבס: "חמושים רק בפיסות מידע על אנשים, אמני הונאה יכולים לעתים קרובות לשפר באופן דרמטי את הצלחתן של תוכניות שמנסות להערים על אנשים למסור יותר נתונים אישיים ופיננסיים."

לא כל הנתונים מוצפנים

עבורי, ההיבט המדאיג ביותר של ההתקפה הזו היה שהמידע היחיד ש-eBay מוצפן במסד הנתונים שלו היה סיסמת המשתמש. בהתאם לסוג ערכת ההצפנה שבה נעשה שימוש, פיצוח הסיסמאות הללו עשוי להיות קשה מאוד או קל מאוד לתוקף. ובכל זאת, לפחות לסיסמאות הייתה צורה כלשהי של הצפנה.

זה מזעזע ששמות, מספרי טלפון, תאריכי לידה, כתובות דוא"ל וכתובות בית לא רק שלא הוצפנו - אלא נשמרו בטקסט רגיל. וזכור, נתונים אלה אינם אופציונליים. על מנת להירשם לחשבון eBay, על המשתמש לספק שם, כתובת ומספר טלפון. אם אתה רוצה למכור משהו ב-eBay, עליך לספק תאריך לידה שמראה שאתה מעל גיל 18.

אז עבור אותם 145 מיליון חשבונות eBay פעילים, למשתמשים לא הייתה ברירה איזה מידע לתת לחברה. זה מזעזע שאיביי תבחר שלא להצפין מידע רגיש כזה.

קריאה לתקני אבטחת מידע?

מתקפות הסייבר מתגברות כל הזמן. כמעט בכל שבוע, אנו שומעים על עוד פרצת נתונים או הזדמנות לאיפוס סיסמה. אבל סיסמאות ונתוני כרטיסי אשראי הם רק חלק אחד מהבעיה.

עבור שוחרי הפרטיות, העובדה שכל כך הרבה שירותים וחברות דורשות גישה לכל כך הרבה מידע אישי כבר מטרידה. אבל גם אם תשים את בעיות הפרטיות בצד, הגיע הזמן להתחיל לאלץ חברות לאחסן מידע אישי בצורה מאובטחת?

יש כברתקנים בתעשייהכיצד ניתן לאחסן ולאבטח מידע תשלום. אולי הגיע הזמן שנתחיל לדרוש משירותים מקוונים להתייחס למידע האישי שלנו ביראת כבוד דומה.

משתמש יכול לשנות את הסיסמה שלה. אולי היא לא תעשה את זה לעתים קרובות כפי שהיא צריכה, אבל ניתן לשנות סיסמה. ברגע שיהיו אוצרות של מידע מזוהה - במיוחד כאשר המידע מקושר לזהות מקוונת - זה משהו שהמשתמש לא יכול לשלוט בו.

כרטיסי אשראי ובנקים מציעים הגנה מפני הונאה. אותו סוג של הגנה אינו זמין עבור גניבת זהות (ומה שזמין הוא יקר בזמן ובכסף).

אם חברות של מיליארדי דולרים רוצות שנוותר על המידע האישי שלנו, האם לא כדאי שנוודא שהן יגנו עליו?