Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

[josef.13]

Unbekannte haben sich mit erbeuteten Mitarbeiter-Logins Zugriff auf eine Datenbank mit Kundendaten verschafft. Kreditkartendaten sollen nicht betroffen sein.

Nach einem Angriff auf eine Datenbank mit Zugangsdaten fordert eBay seine Nutzer auf, ihr Passwort zu ändern. Unbekannte hätten sich Zugangsdaten von Mitarbeitern verschafft und über das Firmennetz Zugriff auf eine Datenbank mit verschlüsselten Passwörtern und anderen Daten erlangt,

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

. Kreditkarten oder andere finanzrelevante Daten seien nicht betroffen.

Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt, heißt es weiter. Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten. Kreditkartendaten seien nicht betroffen, diese würden separat und verschlüsselt gespeichert.

Keine Hinweise auf Missbrauch
Aufgefallen sind die Zugriffe mit den entwendeten Mitarbeiterzugängen vor zwei Wochen, teilte eBay weiter mit. Die Untersuchung des Vorfalls habe ergeben, dass die Unbekannten Zugang zu der betroffenen Datenbank erlangt hatten. Bisher gibt es laut eBay keine Hinweise auf unautorisierte Aktivitäten auf Kundenkonten oder Zugriff auf Finanzdaten.

eBay untersucht die Vorfälle weiter in Zusammenarbeit mit den Behörden und Sicherheitsexperten. Im Laufe des Tages wird eBay damit beginnen, seine Kunden per E-Mail zu informieren und sie bitten, ihr Passwort zu ändern. Sollte dieses Passwort auch auf anderen Websites eingesetzt werden, sollte es auch dort erneuert werden.

Quelle: heise

 

[Mogelhieb]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Habe mich eben bei Ebay eingeloggt. Ich hätte erwartet, dass man nach so einem Vorfall automatisch aufgefordert wird, seine Zugangsdaten zu ändern. Aber nichts!

 

[Little Demon]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Die waren noch nie die schnellsten

 

[Monkorle]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Hallo

Ich hab mich auch heute Eingeloggt und etwas bestellt.

War alles normal.

Hätte schon erwartet das eBay alle Nutzer benachrichtigt.

Oder wenn man sich einloggt bescheid gibt.

Aber das Passwort hab ich jetzt geändert.

Monkorle

 

[josef.13]

Kritik an eBay nach verzögertem Hinweis zur Passwortänderung

Die Online-Handelsplattform

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

muss Kritik aus der IT-Sicherheitsbranche wegen der Informationspolitik nach dem massiven Hacker-Angriff mit entwendeten Nutzerdaten einstecken. Das Unternehmen hatte zwar am Mittwoch per Pressemitteilung erklärt, dass alle

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

sollten. Es dauerte danach aber mehrere Stunden, bis die Aufforderung auch prominent auf den eBay-Websites in verschiedenen Sprachen platziert wurde.

Nutzer im Unklaren gelassen
Der Antiviren-Experte

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

neben der verlangsamten Benachrichtigung auch, dass die Passwörter nicht vom Unternehmen selbst zurückgesetzt wurden, sondern den Nutzern die Entscheidung darüber überlassen worden sei.

Eine Verzögerung bei der Informationen der Kunden eröffnet Möglichkeiten für weitere Betrugsversuche. So könnten Betrüger beispielsweise mit Phishing-Mails versuchen, verunsicherten eBay-Nutzern ihr Passwort zu entlocken. Außerdem hatte der Konzern die Unsicherheit noch befeuert, als ein unfertiger Blogeintrag erst veröffentlicht und dann wieder gelöscht wurde.

Bisher kein Missbrauch bekannt geworden

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

empfiehlt seinen 145 Millionen Nutzern eine Passwortänderung. Nach bisherigen Erkenntnissen wurde bei einem Hackerangriff zwischen Ende Februar und Anfang März eine Datenbank mit verschlüsselten Passwörtern und anderen persönlichen Daten angezapft. Es sei bisher kein Missbrauch der Informationen bekannt geworden, schränkte eBay ein. Auch gebe es keine Hinweise darauf, dass Bank- oder Kreditkartendaten gestohlen worden seien.

Auch Bundesjustizminister Heiko Maas äußerte sich zu dem Vorfall. "Internet-Anbieter sind in der Pflicht, mehr zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun", betonte er. "Verbraucherinnen und Verbrauchern ist zu raten, jetzt nicht nur ihr eBay-Passwort zu ändern, sondern auch die Zugangsdaten für andere Konten, wenn sie dort ein identisches Passwort benutzt haben."

Quelle: onlinekosten

 

[josef.13]

Ebay: Passworttausch wird noch einige Zeit in Anspruch nehmen

Bis alle

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

haben, dürfte noch einige Zeit ins Land gehen. Das Unternehmen habe global damit begonnen, Nutzer auch individuell per Mail aufzufordern, ihr Passwort zu ändern, teilte eBay am Freitag mit. "Aufgrund der Vielzahl der zu versendenden E-Mail wird dies über einen längeren Zeitraum passieren." eBay hat aktuell nach eigenen Angaben rund 145 Millionen Kunden weltweit.

Hacker kopierten Großteil der Kundendatenbank
Unbekannte hatten sich Ende Februar/Anfang März über geklaute Identitäten von Mitarbeitern Zugang verschafft und einen großen Teil der Kundendatenbank kopiert. Es sei aber nicht die gesamte Datenbank kopiert worden, betont eBay.

Nach wie vor habe man keinen Anstieg krimineller Aktivitäten auf seinen Seiten erkennen können, betonte das Unternehmen am Freitag. Damit trat eBay Meldungen entgegen, der Hack werde bereits von Kriminellen ausgenutzt. Die betroffene Datenbank habe keine Finanzinformationen oder andere vertrauliche Informationen enthalten. Unklar dürfte aber bleiben, ob die Daten möglicherweise anderweitig genutzt werden, etwa zum massenhaften Versenden von Spams.

US-Bundesstaaten: Ermittlungen gegen eBay
Ebay ruft seine Nutzer auf seinen Websites weiter prominent auf, das Passwort zu ändern.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

wies das Unternehmen zurück. Nach Bekanntwerden der Attacke in der ersten Mai-Hälfte habe man umgehend damit begonnen, eng mit Sicherheitsexperten und Strafverfolgungsbehörden zusammenzuarbeiten. Man habe die relevanten Fakten erst ermittelt und verstehen müssen. Erst dann habe das Unternehmen seine Kunden am vergangenen Mittwoch informieren können.

In den USA haben mindestens drei Bundesstaaten Ermittlungen gegen eBay eingeleitet. Sie wollen prüfen, ob die Datenschutzmaßnahmen der Handelsplattform ausreichend waren. Der New Yorker Staatsanwalt Eric Schneiderman wertete den Einbruch, der auch Kundendaten betreffe, als "äußerst besorgniserregend".

Quelle: onlinekosten

 

[czutok]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

hat irgend einer von ebey eine email bekommen das er sein password endern solte ??

ich hab bis heute keine bekommen

die werden warschanlich erst dann die kunden informiren , wenn die schon abgezokt werden

 

[MKLST2]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

oder es wurden nur diejenigen verständigt, die mit dem entwendeten Datensatz betroffen sind?

 

[axel]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Dauert nicht mehr lange und ich melde mich bei diesem "OBERMUMPITZ" ab...

:thank_you:

BTW: Ich verkaufe eine Synology DS213+, super Zustand und das Erweiterungsbay DX213, beides mit Rechnung und Garantie.

 

[MKLST2]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

OT an:

beim "Obermumpitz" bin ich seit 5 Jahren nicht mehr angemeldet, nachdem ich rausgeschmissen wurde ...

Habe einen Hochleistung - Boxermotor für ferngesteuerte Modell-Flugzeuge (ab ca. 12kg) verkauft ... und der Käufer hat nach dem Empfang das Ding zerlegt, um zu behaupten, das Innenleben sei defekt ... lol (der Motor ließ sich drehen, meist ein gutes Zeichen ...). Unter Ausschluß jeglicher Gewährleistung (Neupreis über 1000 €, für 150 € verkauft). EBay machte mir Stress die Ware wäre nicht ok gewesen... Käuferschutz ... dem "Zerleger" wurde von EBay das Geld erstattet ... und mein Konto wurde trotz 100% positiver Bewertungen (ca.120) gelöscht und ich somit gekickt.


Soviel zum Obermumpitz

OT aus

 

[Monkorle]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Hallo

Ebay waren noch nie die schnellsten.
Mein Freund hat heute sein Passwort ändern wollen.
Er ist immer beim versuch es zu ändern Raus geflogen.
Das zum Thema Passwort wechsel.

Monkorle

 

[josef.13]

eBay: Weitere Schwachstellen, erzwungener Passwortwechsel

Die Sicherheitsprobleme bei eBay nehmen noch kein Ende. Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid. Außerdem hat es damit begonnen, seine Nutzer zum Passwortwechsel zu zwingen.

Dieses harmlose Proof-of-Concept zeigt das Cookie nur an – mit ein paar Zeilen Code mehr hätte man es aber auch an fremde Server übertragen können.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

​

Der deutsche Sicherheitsforscher Stefan Schurtz hat ausgerechnet im Registrierungsprozess von eBay zwei sogenannte Cross-Site-Scripting-Lücken (XSS) entdeckt, durch die ein Angreifer Javascript-Code in die Site einschleusen kann.

Dieser Code kann etwa das Sitzungs-Cookie angreifen und an einen anderen Server übertragen oder aber auch das Registrierungsformular umleiten. Schurtz gibt an, eBay bereits Ende Januar über das Kontaktformular für Security-Experten auf die Lücken aufmerksam gemacht zu haben.

heise Security konnte beide Lücken nachvollziehen und hat das Online-Auktionshaus kontaktiert. Laut einer ersten Stellungnahme ist dem Unternehmen zumindest einer der beiden Schwachstellen tatsächlich bekannt – man arbeite bereits daran, sie zu beseitigen.

Vorherige Lücke noch nicht geschlossen
In Arbeit ist auch noch eine Lösung für die von Michael Eissele entdeckte

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, über die wir Ende vergangener Woche berichteten. Eissele ist es ebenfalls gelungen, JavaScript an eBays Filtermechanismen vorbei zu schleusen. In seinem Fall wird der Code sogar als Teil der Auktionsdaten bei eBay gespeichert (Persistent XSS). eBay erklärte gegenüber heise Security, dass die Lücke noch "in Begriff sei, beseitigt zu werden"

Passwort wechsel Dich
Die XSS-Lücken stehen laut derzeitigem Kenntnisstand in keiner Verbindung mit dem

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, bei dem bislang unbekannte Täter auf die Daten aller eBay-Nutzer zugreifen konnten. Das Unternehmen hat nach diesem Vorfall alle 145 Millionen Kunden zum Passwort-Wechsel aufgefordert. Wer das bisher nicht erledigt hat, wird nun gezwungen: Nach und nach werden die eBay-Nutzer nach dem Einloggen dazu aufgefordert, ein neues Passwort zu setzen – sofern nicht bereits geschehen.

Erst danach kann man die registrierungspflichtigen eBay-Dienste wieder wie gewohnt nutzen. Wer einwilligt, dem schickt eBay einen Bestätigungscode per Mail oder SMS. Alternativ kann man sich auch anrufen lassen, woraufhin ein Sprachcomputer den Code vorliest. Der Bestätigungscode ist zwingend notwendig, um die Passwortänderung durchführen zu können. Bei einem Test von heise Security endete der Prozess zwar mit einer Fehlermeldung, das Passwort wurde aber dennoch geändert.

Quelle: heise

 

[Hautdenlucas]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Die Aufforderung sein Passwort zu ändern, kommt einem hack gleich, dann schon lieber neu reggen, wenn man sich nicht einloggen kann um das Passwort zu ändern. bei mir geht es nicht mehr mich einzuloggen stattdessen will der hacker meine E-Mail addy. ich werde mich bei jeden einkauf neu reggen, aber erstmal 2 jahre warten was da abgeht, dann weiter schauen.

 

[Mogelhieb]

AW: Angriff auf eBay-Datenbank: Nutzer sollen Passwort ändern

Neu registrieren bedeutet aber auch, dass alle Bewertungen und das erworbene Renommeé weg sind.

Übrigens habe ich jetzt tatsächlich eine Mail bekommen, mit der Aufforderung mein Passwort zu ändern.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

 

[josef.13]

Hacker sollen eBay-Login-Daten für 25 Pfund pro Stück verkaufen

Vor knapp zwei Wochen wurde bekannt, dass es beim Online-Auktionshaus

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

ein riesiges Datenleck gegeben hat. Dabei sollen mehr als 230 Millionen Datensätze gestohlen worden sein und dem Bericht einer britischen Zeitung zufolge wird auch bereits versucht, diese zu verkaufen.

Laut einem Bericht der britischen Zeitung The Sun on Sunday (via

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

) werden die vor knapp zwei Wochen gestohlenen eBay-Zugänge bereits verkauft. Und zwar schreibt das Blatt, dass man mit Personen Kontakt aufgenommen habe, die behaupten, tausende Konten (Nutzernamen und Passwörter) im "Angebot" zu haben.

25 Pfund pro Zugang
Demnach hätten Unbekannte der Sun mehr als tausend (funktionierende) Konten angeboten, pro Account fordern die Hacker rund 25 britische Pfund (umgerechnet knapp 30 Euro). Ein weiterer Hacker soll zum Preis von 2100 Pfund eine "unbegrenzte" Anzahl von eBay-Zugängen angeboten haben. Außerdem sollen sie Mittel und Wege angepriesen haben, wie man als Betrüger "unter dem Radar von eBay und PayPal" bleiben könne - gegen Extrabezahlung natürlich.

Die Gefahr für die legitimen Besitzer der entwendeten eBay-Zugänge ist zwar begrenzt, da bei dem Angriff auf das Online-Auktionshaus keine Kreditkarten-Nummern oder vergleichbar sensible Daten entwendet worden sind. Dennoch können die Zugänge missbraucht werden, um beispielsweise gefälschte und betrügerische Auktionen zu erstellen, die mit vermeintlichen "echten" positiven Nutzerbewertungen "legitimiert" werden.

Passwort ändern!
So wurden die gestohlenen Konten auch der Sun angepriesen, verkauft wurden nämlich ausschließlich positiv bewertete Zugänge. Auch wenn sich der Bericht der Sun derzeit nicht überprüfen lässt, so sollten ihn all jene zum Anlass nehmen, das Passwort zu ändern, sollten sie das bisher nicht gemacht haben.

Quelle: winfuture