Ebay gehackt !
aber keine Panik ... die Gefahr liegt sowieso vermutlich nicht dort, wo es uns suggeriert werden soll ... aber der Reihe nach:
seit gestern Abend bekommt man, wenn man sich bei Ebay anmeldet, am Rand von 'Mein Ebay' einen Link eingeblendet (gestern war er bei mir der oberste der drei, heute ist er schon heruntergerutscht, obwohl das die Reihenfolge der Kalenderdaten stört
):
eBay Inc. bittet alle Nutzer, ihr Passwort zu ändern
Liebe eBay-Mitglieder,
eBay Inc. hat heute bekannt gegeben, dass ein unrechtmäßiger Zugriff auf eBay-Systeme festgestellt wurde, durch den Kundeninformationen nach außen gelangt sein können
...
ausser der Info, dass es keine Kontodaten seien, fehlt jede weitere Eingrenzung, was genau passiert ist und um welche Daten es sich handelt ... die Presse weiss allerdings mehr:
Yahoo /AFP: Ebay fordert nach Hacker-Angriff zum Passwortwechsel auf
Unbekannte verschafften sich Mitarbeiter-Anmeldedaten
https://de.nachrichten.yahoo.com/ebay-f ... nance.html
...
In der Datenbank seien neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Nutzer sowie deren Telefonnummer und Geburtsdatum gespeichert. Finanzinformationen wie Bankdaten seien dort aber nicht hinterlegt gewesen
...
Den Angaben zufolge gelang es den Angreifern, sich "eine kleine Zahl" von Mitarbeiter-Log-ins des Auktionshauses zu verschaffen. Mit den Anmeldedaten konnten sie sich im Firmennetz bewegen
...
soso, "Mitarbeiter-Log-ins" ... welche Mitarbeiter haben das Recht, mein Kennwort einzusehen ?
selbst der oberste Administrator einer Datenbank hat (zumindest, wenn wir von ernstzunehmenden Systemen reden) keinen Zugriff auf unverschlüsselte Zugangsdaten zur Datenbank ... und auch, wenn man als Ebay-Mitglied sicher nicht einfach DB-User, sondern eine Ebene höher softwaremässig aufgehängt ist, eine Verschlüsselung des Passwortes in der Datenbank halte ich für selbstverständlich ...
solange man die Zugangsdaten zu einem privilegierten Account besitzt hat man Möglichkeiten, die Zugangsdaten anderer Nutzer zu ändern ... u.U. sogar die Möglichkeit, sich in den Account einzuloggen, ohne dass es der andere gleich merkt ... aber
niemand darf jemals unverschlüsselten Zugriff auf das Passwort eines anderen haben ... und das heisst auch, hat man den privilegierten Zugang nicht mehr, darf es (eigentlich) keine direkte Gefahr mehr geben für einen unerlaubten Zugriff auf Kundenaccounts ... wenn das Passwort nicht schon vorher geändert wurde ... und dann kommt der Kunde nicht mehr in seinen Account ...
...
verschafften sich den Angaben zufolge zwischen Ende Februar und Anfang März Zugang zu der Kundendatenbank. Ebay habe vor rund zwei Wochen von den gestohlenen Mitarbeiter-Log-ins erfahren
...
und warum erfahren die betroffenen Kunden erst jetzt davon ?
der Drops mit den Anmeldedaten ist doch schon lange gelutscht ...
aber der eigentliche Aufreger ist ein anderer:
...
neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Nutzer sowie deren Telefonnummer und Geburtsdatum gespeichert
...
Email, Anschrift und Name beliebiger Menschen sind in den meisten Fällen recht einfach zu bekommen ... daher wird im Internet zur Prüfung, ob eine Anmeldung irgendwo wohl rechtens ist, gerne eine Abfrage über das Geburtsdatum verwendet ...
mal abgesehen davon, dass es nicht schaden kann, seine Passworte von Zeit zu Zeit zu wechseln ... die Gefahr dieses Hacks liegt wahrscheinlich mehr im Bereich Identitätsdiebstahl ... und wenn es passiert, werden die wenigsten an eine Verbindung zu Ebay denken ...
und eine Schuld nachzuweisen oder gar einzuklagen dürfte extrem schwierig bis unmöglich sein ...