Ebay ruft zum Passwort-Wechsel auf

    • Ebay ruft zum Passwort-Wechsel auf

      Quelle: heise.de/newsticker/meldung/An…wort-aendern-2195127.html

      Unbekannte haben sich mit erbeuteten Mitarbeiter-Logins Zugriff auf eine Datenbank mit Kundendaten verschafft. Kreditkartendaten sollen nicht betroffen sein.

      Nach einem Angriff auf eine Datenbank mit Zugangsdaten fordert eBay seine Nutzer auf, ihr Passwort zu ändern. Unbekannte hätten sich Zugangsdaten von Mitarbeitern verschafft und über das Firmennetz Zugriff auf eine Datenbank mit verschlüsselten Passwörtern und anderen Daten erlangt, teilte das Unternehmen am Mittwoch mit. Kreditkarten oder andere finanzrelevante Daten seien nicht betroffen.

      Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt, heißt es weiter. Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten. Kreditkartendaten seien nicht betroffen, diese würden separat und verschlüsselt gespeichert...



      Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt

      und das merken die erst heute???

      :wallbash
      ★ Lieber abwarten als gar nichts tun. ★
    • Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten.


      Das "verschlüsselte Passwort" ist doch weniger das Problem!

      Die restlichen Kundendaten lassen sich wunderbar für Betrügereien aller Art verwenden.

      Erst vor einer Woche kam bei mir eine gut gefakete "eBay"-Mail mit richtigem Nachnamen an eine meiner nur bei eBay genutzen eMail Adressen - der Vorname war aber falsch.

      Abgeschickt von einem deutschen "Hetzner" Server.

      Ziel war das Aufrufen einer zip-Datei :cursing:
      ★ Lieber abwarten als gar nichts tun. ★
    • scharfmacher schrieb:

      und das merken die erst heute???


      The company said that the compromised employee log-in credentials were first detected about two weeks ago. Extensive forensics subsequently identified the compromised eBay database, resulting in the company’s announcement today.

      ebayinc.com/in_the_news/story/…ay-users-change-passwords

      vielleicht sind (waren) auf den Datenbanken der e.com nur die Daten der dort angemeldeten? ;)

      The company said it has seen no indication of increased fraudulent account activity on eBay.
      tja, wie merken die denn, dass es keine betrügerischen Aktionen gab? :wallbash Mit

      E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum kann man außerhalb Ebays ja auch kaum was anfangen ... :S
      Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt." ^^ Ringelnatz :D
      Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte"

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Stubentiger ()

    • karakorum666 schrieb:

      Ich habe nicht nur keine Mail erhalten, sondern finde nach wie vor nicht unter eBay-news!

      Kann doch wiedermal kaum wahr sein! :wallbash

      ebayinc.com/in_the_news/story/…ay-users-change-passwords



      doch, doch...das ist schon "korrekt so".....
      Vor zwei Wochen wollen sie es gemerkt haben, dass im Februar oder Anfang März was "weggekommen ist.....
      Dann wird erst mal in Ruhe geguckt (ob man es vertuschen kann?) und analysiert....
      und dann werden Besitzer informiert....
      Also, nicht die Besitzer der Accounts deren Daten nun im irgendwo rumschwirren.....sondern die Besitzer der Aktien.

      im "Laufe des Tages wollen sie dann auch mal anfangen die User zu informieren......alles schön der Reihe nach. :cursing:
    • #4

      Würde mal sagen, dass damit Mitarbeiter gemeint sind, die auch von außerhalb berechtigt sind, auf die Datenbank zuzugreifen. Kommt jemand an diese Logindaten, kann von jedem PC auf die Datenbank zugegriffen und auch Daten kopiert werden.
      Diese Zugriffsmöglichkeit sollten eigentlich nur wenige, besonders vertrauenswürdige Personen haben, der Zugriff ist sicher nicht nur mit Nick und Passwort gesichert, da gibt es zusätzliche Sicherheitsmaßnahmen wie z. B. eine Smartcard und/oder weitere Abfragen.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Kaiolito ()

    • scharfmacher schrieb:

      Annefrid schrieb:

      Helft mir mal auf die Sprünge, wat sind bitte Mitarbeiter-Logins



      na z.B. für diese: ebay.de/usr/steffi.de%40ebay.com


      oder andere Mitarbeiter, je nach Dienstgrad können die Kunden-Daten bei ebay einsehen

      Danke, alles klaro - also hat man auf gut deutsch gesagt von Mitarbeitern die Passwörter geklaut.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Annefrid ()

    • scharfmacher schrieb:

      Das "verschlüsselte Passwort" ist doch weniger das Problem!


      Doch, ist es, weil die Erfahrung immer wieder zeigt, daß solche Unternehmen unfähig sind, korrekt zu hashen. eBay würde nicht zum Paßwortwechsel aufrufen, wenn sie die Paßwörter kryptographisch sicher abgelegt hätten! Dann würden sie was von "nicht notwendig" faseln. Natürlich müßte man es trotzdem tun, weil man nie sicher sein kann. Aber wenn eBay so offensiv veröffentlicht - dann ist das schlimmstmöglich anzunehmende passiert.
    • scharfmacher schrieb:

      Abgeschickt von einem deutschen "Hetzner" Server.


      Und hier noch ne Info, die vielleicht von allgemeinem Interesse ist. Hetzner bietet in Aktionen einen einmonatigen Testzugang an. Man kann also einen Server mieten, ohne ein Bankkonto angeben zu müssen. Das muß erst am Ende des Testzeitraums passieren, wenn man das Produkt dann dauerhaft abschließen möchte. Deshalb ist Hetzner bei Spammern, Phishern und co. sehr beliebt.
    • pandarul schrieb:

      scharfmacher schrieb:

      Das "verschlüsselte Passwort" ist doch weniger das Problem!


      Doch, ist es, weil die Erfahrung immer wieder zeigt, daß solche Unternehmen unfähig sind, korrekt zu hashen. eBay würde nicht zum Paßwortwechsel aufrufen, wenn sie die Paßwörter kryptographisch sicher abgelegt hätten! Dann würden sie was von "nicht notwendig" faseln. Natürlich müßte man es trotzdem tun, weil man nie sicher sein kann. Aber wenn eBay so offensiv veröffentlicht - dann ist das schlimmstmöglich anzunehmende passiert.



      Du hast vollkommen recht, aber das Passwort kann man ändern oder den Zugang kann ebay sperren, aber die restlichen Kundendaten bleiben beim Betupper und der kann die wunderbar vermarkten.
      Was meinst du, was man alles mit Klarnamen, Adresse und Geburtsdatum anstellen kann ...
      Ich mag es mir gar nicht vorstellen!
      ★ Lieber abwarten als gar nichts tun. ★
    • Kaiolito schrieb:

      #4

      Würde mal sagen, dass damit Mitarbeiter gemeint sind, die auch von außerhalb berechtigt sind, auf die Datenbank zuzugreifen. Kommt jemand an diese Logindaten, kann von jedem PC auf die Datenbank zugegriffen und auch Daten kopiert werden.
      Diese Zugriffsmöglichkeit sollten eigentlich nur wenige, besonders vertrauenswürdige Personen haben, der Zugriff ist sicher nicht nur mit Nick und Passwort gesichert, da gibt es zusätzliche Sicherheitsmaßnahmen wie z. B. eine Smartcard und/oder weitere Abfragen.



      Ganz bestümmmt 8o ....Kaio, daran glaube ich nicht unbedingt. ....Da haben schon andere "gekotzt", insbesondere, wenn man nicht nur die "Theorie" nimmt....