18:52
21/5/2014

eBay właśnie się przyznał, że w końcówce lutego ktoś się do niego włamał i wykradł bazę danych zawierającą informacje na temat użytkowników. Firma poleca jak najszybszą zmianę haseł.

eBay

eBay

Co wykradziono?

Wykradziona baza, oprócz “zaszyfrowanych haseł” zawierała:

  • imię i nazwisko
  • adres e-mail
  • adres domowy
  • numer telefonu
  • datę urodzenia

eBay nie informuje w jaki sposób przechowywał hasła użytkowników. W komunikacie użyto słowa “encrypted“, ale miejmy nadzieję, że jest to tylko uproszczenie i hasła były jednak hashowane. Podobno do tej pory nie ma śladów nieautoryzowanych zmian na kontach użytkowników eBay’a.

Z ustaleń firmy wynika, że atakując nie mieli dostępu do danych finansowych (numerów kart kredytowych i kont PayPal) ponieważ są one przechowywane osobno.

Jak doszło do włamania?

Atakujący weszli w posiadanie “niewielkiej liczby” loginów i haseł pracowniczych, przy pomocy których dostali się do sieci wewnętrznej firmy.

Zapewne chodzi o dostęp do VPN-a i buszowanie po sieci wewnętrznej — a może wystarczył sam dostęp do skrzynek e-mail? W końcu zarówno dane użytkowników Dropbox jak i Cloudflare zostały wykradzione właśnie poprzez konta pocztowe pracowników tych firm… Ciekawe też jednak jak zdobyto te “kilka loginów i haseł” pracowników eBay’a — czyżby jakiś atak socjotechniczny i phishing?

Sam fakt włamania eBay odkrył 2 tygodnie temu. Obecnie pracuje zarówno z policją jak i specjalistami aby w pełni zanalizować ten incydent.

Mam konto na eBay’u, co robić, jak żyć?

Nie wiadomo, czy wykradziona baza dotyczy wszystkich klientów eBay’a (czyli także Polaków) — ale należy zakładać najgorsze. Zachęcamy więc do zmiany hasła do eBay’a i do wszystkich serwisów, w których korzystaliście z tego samego hasła. To dobry moment aby przypomnieć nasz projekt 10 porad bezpiecznego korzystania z komputera i internetu, dzięki którym dowiecie się m.in. że hasła należy generować przez i przechowywać w KeePassie — to najlepsza metoda.

Aktualizacja 26 maja 2014
eBay zaczął informować użytkowników o włamaniu — także polskich i po polsku:

WAŻNE: WYMAGANA ZMIANA HASŁA

Drogi Użytkowniku eBay,

W celu zapewnienia bezpieczeństwa na eBay proszę wszystkich użytkowników eBay o zmianę hasła.

Dlaczego? Wykryliśmy niedawno cyberatak na naszą firmową sieć informatyczną. Na skutek tego ataku uzyskano nieautoryzowany dostęp do bazy danych zawierającej hasła naszych użytkowników.

Co musisz wiedzieć: nie mamy dowodów na to, że ktoś uzyskał dostęp do Twoich informacji finansowych i je wykorzystał. Natomiast Twoje hasło było zaszyfrowane.

Zwracam się teraz do Ciebie z ważną prośbą:
Przejdź do serwisu eBay i zmień swoje hasło. Jeśli zmieniłeś(łaś) hasło 21 maja lub później, nie musisz teraz nic więcej robić.

Zdaję sobie sprawę, że zmiana hasła może być uciążliwa. Robimy wszystko, co w naszej mocy, aby chronić Twoje dane, a zmiana hasła to dodatkowy środek ostrożności, poza innymi podjętymi przez nas krokami.

Jeśli korzystasz z eBay tylko jako użytkownik niezarejestrowany, nie mamy zapisanego Twojego hasła.

Jeśli na eBay korzystasz z tego samego hasła co w innych witrynach internetowych, zachęcamy również do zmiany haseł w tych witrynach. A jeśli korzystasz z systemu PayPal, nie mamy żadnych podstaw, aby sądzić, że atak miał jakikolwiek wpływ na Twoje konto PayPal i zapisane na nim informacje finansowe, które są zaszyfrowane i przechowywane w oddzielnej bezpiecznej sieci.

Inne działania, jakie podjęliśmy:
Jak zawsze, zapewniamy specjalne środki ochrony na wypadek jakiegokolwiek nieautoryzowanego działania na kontach wszystkich sprzedawców i kupujących.
Stosujemy dodatkowe zabezpieczenia w celu ochrony naszych klientów.
Współpracujemy z właściwymi organami i wiodącymi ekspertami ds. bezpieczeństwa w celu szybkiego zbadania tych zdarzeń.

Co wiemy: atak miał miejsce między końcem lutego a początkiem marca i doprowadził do nieautoryzowanego dostępu do bazy danych użytkowników eBay, która zawierała nazwy, imiona i nazwiska, zaszyfrowane hasła, adresy e-mail, adresy pocztowe, numery telefonów i daty urodzenia.

Jednak plik ten nie zawierał informacji finansowych. A po przeprowadzeniu szczegółowych testów i analiz systemów nie mamy żadnych dowodów na to, że narażone zostały jakiekolwiek dane finansowe lub informacje o kartach kredytowych. Nie ma również żadnych danych wskazujących na znaczący wzrost liczby oszustw i innych nietypowych działań w naszym serwisie.

Przepraszamy za wszelkie spowodowane tą sytuacją niedogodności. Ponieważ jesteśmy globalnym serwisem zakupów i sprzedaży online, nie ma dla nas ważniejszej rzeczy niż zapewnienie bezpieczeństwa naszym użytkownikom i utrzymanie ich zaufania. Wiemy, że nasi klienci mają wobec nas wysokie oczekiwania, i dokładamy wszelkich starań, aby zapewnić Ci bezpieczeństwo transakcji na każdym urządzeniu, z którego korzystasz.

Devin Wenig Signature
Devin Wenig
Prezes eBay Marketplaces


Przeczytaj także:



47 komentarzy

Dodaj komentarz
  1. […] O tym, że eBay padł ofiarą hackerów jako pierwszy poinformował Niebezpiecznik. […]

  2. Trzy miesiące hackownia w najlepsze… To ja już wolę allegro ;)

  3. Akurat z czystej ciekawości chciałem się zarejestrować na ebayu i kupić jakąś pierdółkę w HK…

    PS. “generować przez i przechowywać w KeePassie” a co z lastpassem? Czy hasła są przechowywane w chmurze? Wyciek byłby katastrofalny w skutkach…

    • Chcesz wiedziec wiecej na temat zabezpieczen stosowanych w LastPassie posluchaj podcastu Security Now odcinek 256. Steve Gibson tlumaczy jak dziala mechanizm LP itd.

      W duzym skrocie haslo jest szyfrowane na Twojej maszynie kluczem do ktorego tylko ty masz dostep ktory rowniez jest szyfrowany a nastepnie jest przemieszany (iterations) tyle razy ile masz ustawione w settingsach i dopiero taki blob informacji jest wysylany na serwery LastPassa.

      Steve Gibson uzywa LP – to mi wystarczy. W tym roku poraz kolejny wykupilem usluge premium.

      Pozdrawiam.

      Andrzej

  4. Udalo Wam sie zmienic haslo? U mnie nie, niby bledow nie wywala, ale nadal dziala tylko stare…

    • Już dawno próbowałem zmienić hasło (wielokrotnie, w różnych przeglądarkach) i nigdy się nie dało.

    • Tak. Zmienilem z 10 minut temu bez problemu.

      Dodatkowo moge dodac ze ten tooltip ktory informuje ze haslo ma byc miedzy 6-20 znakow klamie. Mozna dawac dluzsze. Duzo dluzsze.

      Pozdrawiam.

      Andrzej

    • @Andrzej
      Niestety nie można… Wpisałem dłuższe i wywaliło błąd.

    • @szybki7 niestety krotko po dodaniu mojego komentarza ebay dopracowal wymuszenie limitu… Moim zaniem to idiotyczne no ale coz… Moje haslo ustawilem przed blokada. Jest super dlugie. Nie bede go przez jakis czas zmienial. Mialem szczescie.

      Pozdrawiam.

      AndrzejL

  5. Dlaczego w artykule o KeePassie nie można dodawać komentarzy ?

  6. Ciekawe ile GB miała ta baza.

  7. Ekhm… no to wiele wyjaśnia. Około miesiąca temu dostałem emaila od nich że wykryli nieautoryzowaną akcję na moim koncie (które ostatni raz używałem chyba 3 lata temu) i że zostało ono zablokowane. Zalecali zmianę hasła. Teraz już mogę się domyślić co się stało…

  8. Na najnowszym stabilnym chrome nie da się zmienić hasła. na IE 11 działa w porządku…

    • Ja zmieniłem bez problemu. Zaraz po udanej zmianie eBay wysyła email z informacją z którego IP nastąpiła zmiana.

  9. Czy wyciek dotyczy tylko polskiego Ebay’a?
    Mieszkam za granicą i nie wiem czy po przeczytaniu tego artykułu również ja powinienem się bać.

    • Zmiana hasla Ci nie zaszkodzi. Tez mieszkam zagramanica i zmienilem na wszelki wypadek.

      Dane PayPala nie zostaly ruszone o czym mozna przeczytac na blogu PayPala we wpisie zwiazanym z breachem ebaya.

      Pozdrawiam.

      Andrzej

  10. Ale maja zabezpieczenia…. Zeby nie wykryc wlamania przez tyle czasu!!!!
    Mysle ze czas oszczedzania na specjalistach IT powinien sie skonczyc.
    Przyczyna problemo jest: Marne wynagrodzenie dla pracownikow / koncultantow. PrYklad jako kontraktor ebay placul 600€ w 2008 teraz 300-400dziennie max. Efekty widac hehe

  11. ebay.co.uk, ebay.de, ebay.fr – po zalogowaniu info o zablokowaniu dostępu, aż nie prześlą emaila resetującego hasło
    ebay.com – po zalogowaniu dostęp do konta, blokada przy próbie zmiany hasła jak powyżej
    ebay.pl – hasło zmienione bez problemu

  12. Jakie szczęście, że rok temu usuneli mi konto ;)

  13. Coś ten eBay nie pozwala wkleić nowego hasła z KeePassa. Próbowałem to obejść wyłączając JS i niby się udało, ale teraz nie mogę się zalogować. I kolejny reset hasła.
    Gratuluję im podejścia.

  14. Niestety nie można zmienić hasła – zawsze pojawia się komunikat: “W haśle nie można używać spacji.”

    Swoją droga to ciekawe w jakim celu ograniczają długość hasła do 20 znaków, niedopuszczają spacji, chcą uniemożliwić wklejanie hasła?

    • <input type=”password” autocomplete=”off” maxlength=”20″ size=”29″ value=”” ondrop=”return false” autofocus=”autofocus” oncopy=”return false” onpaste=”return false” ondrag=”return false” name=”pass” id=”password”>

  15. “Beginning later today, eBay users will be notified via email, site communications and other marketing channels to change their password. In addition to asking users to change their eBay password, the company said it also is encouraging any eBay user who utilized the same password on other sites to change those passwords, too. The same password should never be used across multiple sites or accounts.”

    Do tej pory nie otrzymałem żadnego maila, żeby zmienić hasło. Dowiedziałem się dopiero tutaj, a eBay informuje przez ich własną stronę, na którą wchodzę dość rzadko. Dzięki Niebezpiecznik!

  16. Polacy to idioci. Wszystkie zagraniczne portale krzyczaly o tym wlamaniu w marcu, a w polsce dopiero pod koniec maja wyjezdzacie ze zdaniem ”trzeba zmienic haslo” no zalosni jestescie, jeszcze na dodatek twierdzac ze dopiero teraz ebay to potwierdzil. Ja juz w marcu zmienilem haslo.

    • Gratulujemy, jesteś świetny! Trzeba było powiedzieć ebay’owi o włamaniu wcześniej ;)

    • A ja tam słyszałem, że już Nostradamus przewidział to włamanie, więc wcale taki szybki nie jesteś…

  17. ataku dokonano w 4 miesiące temu a odkryli go 2 tyg temu ? i dopiero teraz informują o zmianach haseł…

  18. A co w sytuacji kiedy miałem konto na ebay.com i na ebay.es? Na obu muszę zmienić?
    Próbowałem zadzwonić do Ebay, ale….. teraz jest 09:26 a komunikat od nich: Please call during the normal business hours” :)

    Miszczowie!! Niech ktoś kto wie napisze czy na obu witrynach mam zmieniać.

  19. Obstawiam hartbleeda na koncentratorze VPN ;)

  20. @Stefan
    Na twoim miejscu na obu zmienil bym haslo…

    • Racja – zmieniłem. Dzięki.

  21. @Stefan, @John Hagen
    Chwila, mowa o dwóch różnych kontach? No to wiadomo, że w obu zmień sobie hasło, Stefan. Bo jeśli mówisz o jednym zestawie danych, a tylko logujesz się nimi raz do .com, a raz do .es, to to nadal jest to samo konto, jedno hasło itp. Możesz się tymi danymi zalogować do jebaja .co.uk, .de, .fr, czy co tam sobie wstawisz na końcu, ale trudno tu mówić o jednym koncie .com i innym .es. W ebayu nie ma czegoś takiego. Zatem, jeśli wyrażam się niejasno, jakiekolwiek konto na ebayu jest kontem na ebay.com i wystarczy wyprowadzić jedną bazę, by mieć dane do wszystkich lokalnych odłamów.

  22. @Hipolit
    Dzięki – zmieniłem oba.

  23. Baza zostala juz wystawiona na sprzedarz
    http://pastebin.com/vmvjGw3N

    === full ebay user database dump with 145 312 663 unique records ===
    to get a copy:
    1) send 1.453 BTC to (send an email to KbcdPfA@hushmail.com to get a private address)
    2) immediately email the transaction id from 1) to KbcdPfA@hushmail.com
    3) link to ebay-dump-2014-03-26-145312663.csv.zip will be sent to the original email with information on a unique transaction id

    === sample dump of 12 663 users from apac region ===
    NAME|PASS|EMAIL|ADDRESS|PHONE|DOB
    https://mega.co.nz/#!FAwBQKpI!D4BQ6GD4qMjU5x1CyNCQiaMmSifGrFLLAl1rg7_f5yg

    • Ciekawe dlaczego dopiero teraz, po odkryciu włamania.

  24. Damian: “ataku dokonano w 4 miesiące temu a odkryli go 2 tyg temu ? i dopiero teraz informują o zmianach haseł…”

    Bo wszyscy palili trawkje i zapomnieli, nie czytales? xD

  25. “Nie wiadomo, czy wykradziona baza dotyczy wszystkich klientów eBay’a (czyli także Polaków)”
    Właśane dostałem maila z ebay żebym zmienił hasło bo mieli włamanie, więc Polakówchya też dotyczy.

  26. ebay.de bez kodowania ssh

    • chyba ssl

  27. Nie moge zmienic hasla dlaczegooooo ???? Postepuje wedlug ebaya podaje nowe haslo powtarzam je i nie dziala co jest !!!!!! I teraz wogole nie moge wejsc na ebay bo musze zmienic to piep… Haslo daje duze znaki liczb nic nie dziala czy ja jestem tempy czy ebay jest durny pomocy !!!!!

  28. Przyszedł dziś mail z informacją o ataku i prośbą zmiany hasła.

  29. Hasła to należy generować w głowie, są sposoby na generowanie skomplikowanych i zapamiętywalnych

  30. Koniec lutego a mamy koniec maja… rychło wczas…

  31. A ja wam powiem szczerze, chrzanić te hasła… Mnie osobiście drażni to, że moje dane osobowe zostały wykadzone i ebay nie ponosi za to żadnej odpowiedzialności. Jestem ciekawe kiedy wreszcie administratorzy/właściciele serwisów, będą pociągani do odpowiedzialności za wyciek danych swoich klientów. Panuje takie powszechne przekonanie, że włamania to coś normalnego, ot biedny serwis, bo się do niego włamali, a nasze dane dla nikogo się nie liczą.

  32. This is a courtesy message to let you know that your eBay password has been successfully changed. Nie musisz na nie odpowiadać.

    Dziękujemy,

    eBay Trust Team
    —-
    Dbaj o bezpieczeństwo swojego konta eBay. Don’t reply to any email that asks for your personal information.

    Odpisać im “Thank You for this wiadomość. I will nie odpowiadał na e-maile z asks o moje personal information.”?

  33. Nawet największym gigantom zdarzają się wpadki. Faktem jest to, że jeżeli ktoś chce się włamać to się włamie, tylko żeby nie wykorzystał tego do niecnych celów ;) A aby nic się nie stało, po prostu dostosować się do zaleceń, które proponuje serwis, i zmienić hasło.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: