Datenklau bei Ebay
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anfangen
angreifer
datum
fiktive ware
frage
geld
gestohlene ware
informieren
konto
kunde
leute
meute
mitarbeiter
monat
schritt
staunen
url
verkaufen
woche
zugang
-
Ich habe gerade gelesen (http://www.welt.de/wirtschaft/webwelt/article128279640/Ebay-ruft-alle-Nutzer-zur-Passwort-Aenderung-auf.html) , dass es mal wieder einen Fall von Datenklau gegeben hat. Dieses mal bei Ebay. Die Rede ist von 145 Mio Kundendaten mit E-Mail und Passwort, letzteres allerdings verschlüsselt.
Jetzt sollen alle Ebay-Kunden aufgefordert werden, ihr Passwort zu ändern.
Frage 1: Warum soll ich mein Passwort ändern, wenn es doch verschlüsselt ist?
Frage 2: Warum soll ich jetzt mein PW ändern? Der Datenklau war vor ca. drei Monaten.
Der eigentliche Skandal ist aber m.E.
Nach Angaben von Ebay sind die Angreifer über die Zugangsdaten von Mitarbeitern ins Firmennetzwerk eingedrungen; dies sei aber erst vor zwei Wochen entdeckt worden. Die eigentliche Attacke habe zwischen Ende Februar und Anfang März stattgefunden.
So eine große Firma braucht also 2-3 Monate, um überhaupt etwas zu merken und wartet dann noch 2 Wochen, um die Kunden zu informieren.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
mein-wunschname schrieb:
Einfach aus Sicherheitsgründen. Also, ich habe mein Passwort geändert, als ich Gestern die Meldung las. Sicher ist sicher. Andere Frage: Wieso sollte ich mein Passwort nicht ändern?
Frage 1: Warum soll ich mein Passwort ändern, wenn es doch verschlüsselt ist?
Dadurch, das weiterhin die meistverwendeten Passwörter "123456789", "0123456789" oder auch "password" ist kann man den Verschlüsselungsalgorithmus eigentlich "relativ" einfach zurück rechnen.
mein-wunschname schrieb:
Einfach weil man als User daran interessiert ist, dass das eigene Konto möglichst sicher ist. Ich würde mich einfach nicht wohlfühlen, wenn ich wüsste meine Daten kursieren im Netz.
Frage 2: Warum soll ich jetzt mein PW ändern? Der Datenklau war vor ca. drei Monaten.
mein-wunschname schrieb:
So eine große Firma braucht also 2-3 Monate, um überhaupt etwas zu merken und wartet dann noch 2 Wochen, um die Kunden zu informieren.
Aus Fehlern lernt man. Da man über gehackte Konten von Mitarbeitern in die Datenbank ist, wird es dort entsprechend keine Warnmeldungen vom System her gegeben haben. War es nicht bei Snowden auch so?
Das runterladen sämtlicher Dokumente wurde doch auch dort nirgendwo vermerkt? (Jetzt kann ich allerdings irren)
-
Das schlimmste ist wohl, dass es 2 Wochen gedauert hat, bis Sie damit an die Öffentlichkeit gegangen sind.
Und das ganze zeigt doch, es ist nichts sicher im Netz. Auch wenn es diesmal ein Mitarbeiter war. Zum Glück habe ich keine Kontodaten hinterlegt, das wäre für mich der größere Gau. Meine Adresse ist ja eh für jeden nachvollziehbar, dank Impressumspflicht auf der Internetseite. -
all-in1 schrieb:
Zum Glück habe ich keine Kontodaten hinterlegt, das wäre für mich der größere Gau.
Was wäre so schlimm daran, wenn deine Kontodaten hinterlegt wären?
Beitrag zuletzt geändert: 22.5.2014 15:23:05 von kigollogik -
all-in1 schrieb:
Die muss ja nun nicht wirklich jeder haben, reicht wenn die Leute meine Kontodaten haben, die mir auch Geld überweisen.
Naja, viel damit anfangen kann man allerdings trotzdem nicht,
Solange nicht bei ebay auch Pin-Nummer und Handynummer hinterlegt sind ;)
Meine Kontodaten sind bei ebay hinterlegt. Ich wüsste allerdings nicht, was man damit anfangen sollte, um ehrlich zu sein. Rückt diese Daten nicht die Bank selbst auch raus?
Ich weiß noch, das ich früher bei Einzahlung zu Händen dritter die Kto Nummer bekommen habe, wenn ich einen Namen nannte. Keine Ahnung, wie es aktuell gehandelt wird. -
kigollogik schrieb:
Naja, viel damit anfangen kann man allerdings trotzdem nicht,
Nun man könnte z.B. unter deinem Namen gestohlene Ware oder fiktive Ware verkaufen, du wirst staunen wie schnell eine wütende Meute vor deiner Tür steht. Deinen Namen und dein Bewertungsprofil hätte der Angreifer jedenfalls, und du keinen Zugang zu deinem Ebay-Konto. Übrigens ich bin Ebay Kunde und bisher hat mich Ebay noch nicht informiert dass ich mein Passwort ändern soll, also was heisst an die Öffentlichkeit gegangen? Das wäre normalerweise der erste Schritt. Alle Kunden per Mail informieren.
mfg
Gerald -
mein-wunschname schrieb:
über die Zugangsdaten von Mitarbeitern ins Firmennetzwerk eingedrungen
Das ist gerade bei großen Firmen oft so. Ich wundere mich allerdings, wie so inkompetente Leute überhaupt zu ebay kommen ... (Bei staatlichen Einrichtungen wundert es mich nicht, so schlecht, wie die zahlen ... ) -
invalidenturm schrieb:
kigollogik schrieb:
Naja, viel damit anfangen kann man allerdings trotzdem nicht,
Nun man könnte z.B. unter deinem Namen gestohlene Ware oder fiktive Ware verkaufen, du wirst staunen wie schnell eine wütende Meute vor deiner Tür steht. Deinen Namen und dein Bewertungsprofil hätte der Angreifer jedenfalls, und du keinen Zugang zu deinem Ebay-Konto. Übrigens ich bin Ebay Kunde und bisher hat mich Ebay noch nicht informiert dass ich mein Passwort ändern soll, also was heisst an die Öffentlichkeit gegangen? Das wäre normalerweise der erste Schritt. Alle Kunden per Mail informieren.
mfg
Gerald
Das wäre ja nicht das erste mal, das es bei Ebay zu einer Account-Übernahme kommt. Vor ein paar Jahren wurden ja auch zahlreiche Ebay-Accounts von Angreifern übernommen.
Und ist bestimmt auch nicht einfach, so ein übernommenes Konto wieder zurück zu erlangen. Zumindest nicht so wie der Kundenservice von Ebay sich gibt. -
invalidenturm schrieb:
kigollogik schrieb:
Naja, viel damit anfangen kann man allerdings trotzdem nicht,
Nun man könnte z.B. unter deinem Namen gestohlene Ware oder fiktive Ware verkaufen, du wirst staunen wie schnell eine wütende Meute vor deiner Tür steht. Deinen Namen und dein Bewertungsprofil hätte der Angreifer jedenfalls, und du keinen Zugang zu deinem Ebay-Konto. Übrigens ich bin Ebay Kunde und bisher hat mich Ebay noch nicht informiert dass ich mein Passwort ändern soll, also was heisst an die Öffentlichkeit gegangen? Das wäre normalerweise der erste Schritt. Alle Kunden per Mail informieren.
mfg
Gerald
Also, lieber Gerald,
einzelne Sätze aus dem Kontext heraus nehmen, um dann eine plausible Argumentation aufzubauen kann ich auch.
Es ging um Kontodaten, die dort hinterlegt sind. BLZ + Kto.Nr. etc. nicht um die Login-Daten von Ebay, da würde mir weitaus mehr einfallen, als nur Dinge verkaufen...
Angeblich haben sie Kunden per Mail informiert. Ich kenne bisher auch noch niemanden, der sie auch erhalten hat.
-
Hallo
Ich kann mir nicht vorstellen, dass der Datenklau so erheblich war (= die Passwörter waren gehasht), denn sonst würde ebay schließlich eine Änderung erzwingen, nicht?
Trotzdem kann ein gehashtes Passwort aber durch brute-force, rainbowtables oder Wörterbuch Angriffe herausgefunden werden. Deswegen wird vermutlich die Passwortänderung empfohlen.
Bekommt man nicht eine E-Mail wenn man etwas kauft oder verkauft? Kann die E-Mail Adresse ohne Bestätigungslink geändert werden? Ich denke mal nicht. Das Missbrauchspotenzial ist also begrenzt.
Generell kann ich nur empfehlen, E-Mail Aliases zu verwenden. Wenn man bei zwei Seiten das gleiche Passwort verwendet (aus Versehen), muss der Angreifer immer noch den Alias herausfinden (und die Mühe macht sich niemand). Spam ist so auch überhaupt kein Thema.
Leicht offtopic:
Im angloamerikanischen Raum scheint es üblich ein "Doppelkonto" zu haben, bei dem man mit wenigen Klicks Geld aufs Giro-/Kreditkarten Konto verschieben kann. So kann man sich prima gegen gestohlene Kreditkartendaten schützen.
mfg -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage