Hacker sind erfolgreich bei eBay eingebrochen. Das populäre Online-Auktionshaus rät allen Mitgliedern sofort das eigene Passwort zu ändern. Zwar seien Zahlungsinformationen nicht betroffen, den Hackern sei es dafür aber gelungen, die Klarnamen, verschlüsselten Passwörter, E-Mail-Adressen, postalischen Anschriften, Telefonnummern und Geburtsdaten zu kopieren.
Nachdem die Information bereits über PayPal frühzeitig bekanntgegeben wurde, hat eBay den Vorfall nun offiziell bestätigt – mit Details und konkreten Zahlen geht das Unternehmen allerdings sehr sparsam um. In einer Mitteilung im eigenen Blog erklärt eBay, dass es im Zeitraum Ende Februar bis Anfang März unbekannten Hackern gelungen ist, die Kundendatenbank von eBay anzuzapfen und zu kopieren. Die Angreifer haben demnach "eine kleine Anzahl" an Login-Daten von eBay-Mitarbeitern "kompromittiert" und auf diesem Weg Zugriff auf das Intranet von eBay erhalten. Ob die Passwörter der Angestellten per Brute Force erraten, mit Social Engineering entlockt oder anderweitig ergattert werden konnten, wird nicht erläutert.
Die betroffene Datenbank habe ausschließlich die persönlichen Daten von Kunden, nicht aber deren Zahlungsinformationen, wie beispielsweise Kreditkartennummern, enthalten. Nichtsdestoweniger konnten die Hacker offenbar alle Datensätze der über 200 Millionen eBay-Nutzer kopieren, konkrete Zahlen werden jedoch nicht genannt. Wäre der Umfang allerdings geringer als angenommen, hätte die PR-Abteilung des Konzerns diesen Umstand bestimmt in der Außenkommunikation zu nutzen gewusst. In den Datensätzen enthalten sind jeweils die bei der Registrierung angegebenen Informationen: Klarname, verschlüsseltes Passwort, E-Mail-Adresse, postalische Anschrift, Telefonnummer und Geburtsdatum.
eBay-Kunden werden zur Vergabe eines neuen Passworts aufgefordert
Die verzögerte Bekanntgabe des Datenlecks begründet eBay mit einer "ausführlichen forensischen Untersuchung". Einen Zuwachs von betrügerischen Aktivitäten habe es im Zuge des Hacker-Angriffes nicht gegeben, heißt es in der Mitteilung von eBay. Seit gestern Abend verschickt eBay nun an alle Kunden eine kurze Nachricht mit der dringenden Empfehlung, aus Sicherheitsgründen das eigene Zugangspasswort möglichst bald zu ändern. Wie hoch die Wahrscheinlichkeit ist, dass die zuvor benutzten Passwörter von den Hackern, etwaigen Käufern oder Kollaborateuren kompromittiert werden, lässt sich nicht sagen, da eBay keine Informationen zur Art der verwendeten Verschlüsselung mitgeteilt hat.
Die Nachricht von einem Datenleck bei eBay wurde ursprünglich zuerst im Help-Center von PayPal verbreitet, das seit 2002 dem Online-Auktionshaus gehört. In der Mitteilung wurde darüber informiert, dass eBay-Kunden dazu aufgefordert werden, ihre Passwörter neu zu vergeben. Kurz darauf war der Eintrag im Help-Center verschwunden und eBay selbst meldete sich zu Wort. Ob sich das öffentliche Bekenntnis zu einem Sicherheitsproblem sonst noch weiter hinausgezögert hätte oder sich bei PayPal jemand nur um ein paar Stunden bei den Veröffentlichungsrichtlinien eines Dokumentes vertan hat, ist nicht bekannt.
Quelle: Gulli
- - - - - - - - - -
Staatsanwaltschaft nimmt Ermittlungen auf
Nachdem das Online-Auktionshaus eBay Mitte der Woche eingestand, dass die komplette Nutzerdatenbank des Unternehmens von Hackern kopiert werden konnte, nimmt die US-Staatsanwaltschaft nun die Ermittlungen auf. Die intransparente Informationspolitik eBays steht weiter in der Kritik.
Wie die Staatsanwaltschaft der US-Bundesstaaten Connecticut, Florida und Illinois mitteilt, sind erste Ermittlungen gegen die bislang unbekannten Hacker eingeleitet worden, die Ende Februar, Anfang März die Kundendatenbank des Online-Auktionshauses eBay kopierten. Dies hätte eine Sprecherin der Staatsanwaltschaft in Illinois bestätigt, berichtet die Nachrichtenagentur Reuters. Der New Yorker Staatsanwalt fordert derweil ein kostenloses Kreditkarten-Monitoring für die betroffenen eBay-Kunden, um sicherzustellen, dass die Daten tatsächlich nicht missbraucht werden, wie eBay selbst in einer Pressemitteilung versicherte.
In der Nacht zu Mittwoch informierte eBay die Presse über das Datenleck, von dem offenbar alle eBay-Kunden betroffen sind, ließ in der Mitteilung jedoch eine Menge Fragen offen. Mittlerweile hat das Unternehmen damit begonnen, nicht nur eine prominente Nachricht auf der Startseite von eBay anzuzeigen, sondern Nutzer der Plattform auch direkt per E-Mail anzusprechen. Darin fordert das Online-Auktionshaus alle Nutzer dazu auf, ihre Passwörter unverzüglich zu ändern, um die Sicherheit des Accounts zu gewährleisten. Zwar sind die Zugangsdaten in der Kundendatenbank verschlüsselt abgelegt, wie sicher die verwendete Methode zur Verschlüsselung der Daten ist, lässt sich jedoch nicht einschätzen, hat eBay doch keine Angaben dazu gemacht, welcher Art die Verschlüsselung ist. Entsprechend ist es empfehlenswert, eher früh als spät das eigene eBay-Passwort zu ändern, um eventuellem Missbrauch vorzubeugen.
Automatisches Zurücksetzen der Passwörter in Arbeit
Um weniger informierte Nutzer nicht im Regen stehen zu lassen, wird eBay in den kommenden Tagen zudem automatisch alle Passwörter zurücksetzen lassen. Entsprechende Vorkehrungen seien bereits in Arbeit. Derweil berichten einige Nutzer, laut heise online, davon, dass die Passwort-Zurücksetzen-Funktion teilweise nicht korrekt funktioniere, was auf die hohe Serverlast zurückzuführen sei. Darüber hinaus spekuliert die heise-Redaktion, ob die kopierten Kundendaten möglicherweise schon missbraucht werden und verweist auf eine Phishing-Welle, die auf eBay-Kunden gemünzt ist, und neben Klarnamen auch die postalische Anschrift des Adressaten trägt.
Bei dem am Mittwoch bekannt gemachten Datenleck konnten Hacker Klarname, verschlüsseltes Passwort, E-Mail-Adresse, postalische Anschrift, Telefonnummer und Geburtsdatum von eBay-Nutzern kopieren. Die Hacker-Attacke erfolgte offenbar bereits im Zeitraum Ende Februar bis Anfang März, die Angreifer gelangten angeblich in den Besitz von Zugangsdaten von eBay-Mitarbeitern zum Firmen-eigenen Intranet, aufgefallen ist das Datenleck allerdings erst vor rund zwei Wochen.
Quelle: Gulli
Wie die Staatsanwaltschaft der US-Bundesstaaten Connecticut, Florida und Illinois mitteilt, sind erste Ermittlungen gegen die bislang unbekannten Hacker eingeleitet worden, die Ende Februar, Anfang März die Kundendatenbank des Online-Auktionshauses eBay kopierten. Dies hätte eine Sprecherin der Staatsanwaltschaft in Illinois bestätigt, berichtet die Nachrichtenagentur Reuters. Der New Yorker Staatsanwalt fordert derweil ein kostenloses Kreditkarten-Monitoring für die betroffenen eBay-Kunden, um sicherzustellen, dass die Daten tatsächlich nicht missbraucht werden, wie eBay selbst in einer Pressemitteilung versicherte.
In der Nacht zu Mittwoch informierte eBay die Presse über das Datenleck, von dem offenbar alle eBay-Kunden betroffen sind, ließ in der Mitteilung jedoch eine Menge Fragen offen. Mittlerweile hat das Unternehmen damit begonnen, nicht nur eine prominente Nachricht auf der Startseite von eBay anzuzeigen, sondern Nutzer der Plattform auch direkt per E-Mail anzusprechen. Darin fordert das Online-Auktionshaus alle Nutzer dazu auf, ihre Passwörter unverzüglich zu ändern, um die Sicherheit des Accounts zu gewährleisten. Zwar sind die Zugangsdaten in der Kundendatenbank verschlüsselt abgelegt, wie sicher die verwendete Methode zur Verschlüsselung der Daten ist, lässt sich jedoch nicht einschätzen, hat eBay doch keine Angaben dazu gemacht, welcher Art die Verschlüsselung ist. Entsprechend ist es empfehlenswert, eher früh als spät das eigene eBay-Passwort zu ändern, um eventuellem Missbrauch vorzubeugen.
Automatisches Zurücksetzen der Passwörter in Arbeit
Um weniger informierte Nutzer nicht im Regen stehen zu lassen, wird eBay in den kommenden Tagen zudem automatisch alle Passwörter zurücksetzen lassen. Entsprechende Vorkehrungen seien bereits in Arbeit. Derweil berichten einige Nutzer, laut heise online, davon, dass die Passwort-Zurücksetzen-Funktion teilweise nicht korrekt funktioniere, was auf die hohe Serverlast zurückzuführen sei. Darüber hinaus spekuliert die heise-Redaktion, ob die kopierten Kundendaten möglicherweise schon missbraucht werden und verweist auf eine Phishing-Welle, die auf eBay-Kunden gemünzt ist, und neben Klarnamen auch die postalische Anschrift des Adressaten trägt.
Bei dem am Mittwoch bekannt gemachten Datenleck konnten Hacker Klarname, verschlüsseltes Passwort, E-Mail-Adresse, postalische Anschrift, Telefonnummer und Geburtsdatum von eBay-Nutzern kopieren. Die Hacker-Attacke erfolgte offenbar bereits im Zeitraum Ende Februar bis Anfang März, die Angreifer gelangten angeblich in den Besitz von Zugangsdaten von eBay-Mitarbeitern zum Firmen-eigenen Intranet, aufgefallen ist das Datenleck allerdings erst vor rund zwei Wochen.
Quelle: Gulli
