Nee nee, die Passwörter sollte auch ein Administrator nicht einsehen können. Das wäre ansonsten eine erhebliche Sicherheitslücke.
Ebay ruft zum Passwort-Wechsel auf
-
-
-
Die Frage kann dir niemand beantworten, der eBays Policies nicht kennt. Also niemand außerhalb der Organisationsstruktur. Und diejenigen, die sowas wissen, sind natürlich durch ein NDA verpflichtet.
Das vorausgeschickt:
1. Nein, in einem vernünftigen Unternehmen wäre das nicht möglich. Es ist nicht notwendig, Paßwörter von Untergebenen zu kennen, und da in einer Firma mit Restverstand unter den IT-Verantwortlichen niemals Paßwörter irgendwo gespeichert werden, kann man sie auch nicht einsehen. Auf die Hashes hingegen hat irgendjemand Zugriff. Irgendwer hat immer Vollzufgriff auf alle Rohdaten.
2. Ja, bei eBay kann ich mir das vorstellen, MA-Accounts sind stinknormale eBay-Mitglieder, die in derselben Datenbank geführt werden, auch wenn sie ggf. Sonderechte haben. Darauf hat man mit den entsprechenden Berechtigungen Zugriff, was die Angreifer ja bewiesen haben, und weil eBay wie oben ausgeführt offensichtlich nicht in der Lage ist, mit Paßwörtern vernünftig umzugehen, ist es wohl möglich, diese zurückzurechnen. Nicht jeder MA-Account ist allerdings auch von außerhalb des Intranets benutzbar. -
Annefrid schrieb:
Wie ins das,
wenn ick z.B. dat Passwort von einem hohen ebax Mitarbeiter (Administrator)habe, kann ick dann auch alle Passwörter von allen anderen Mitarbeitern einsehen
Das ist sehr unwahrscheinlich. BEi einem einiger Maßen brauchbaren System gibt es das Passwort in Klartext nirgends in einer Datenbank.
Ganz grob:
Es wird nur verschlüsselt gespeichert und ist "im besten Fall" nicht mehr rückschlüsselbar, nie mehr.
Wenn Du Dich anmeldest, wird dann Deine Eingabe ebenfalls verschlüsselt und mit dem gespeichertem Wert verglichen.
Aus diesem Grund kann Dir auch kein Supporter und keine Bank jemals Dein Passwort sagen, wenn Du es vergessen hast. Es geht nicht. (Deshalb wird das Passwort nur zurückgesetzt oder/und ein neues vorläufiges Einmal-PW vergeben. -
pandarul schrieb:
Nicht jeder MA-Account ist allerdings auch von außerhalb des Intranets benutzbar.
bloß wie leicht bekommen auch Hilfsmitarbeiter oder die berühmtberüchtigte Putzfee (mit Sonderaufgaben ;-)) Zugang ins Intranet,
ohne dass vielleicht jemand davon weiß, dass da jemand mit "frisch erworbenene Sondervollmachten" schon im inneren Zirkel Zugriff hat?Bedenke: "Humor ist der Knopf, der verhindert, dass uns der Kragen platzt."
Ringelnatz 
Was heißt das? Abkürzungen, "Forengeheimsprache" und "geflügelte Worte" -
Da hier durchweg das Radio läuft, es kam gerade in den Nachrichten. Auf diese Weise kann man seine Kunden natürlich auch informieren - vor allem flächendeckend.
Alle eBay-Nutzer sollen wegen des Datenlecks die Passwörter wechseln. Es ist vom größen Angriff auf die Daten in der Firmengeschichte die Rede.
Wenn sie selbst schon so weit gehen, brennt die Hütte aber richtig! -
-
Ich wage mal die Vermutung:
Wenn mehr Putzfrauen im "inneren Zirkel" zugange wären, wäre manches bei eBay vernünftiger und menschlicher.
================================================
Wenn etwas einmal passiert, passiert es vielleicht nie wieder. Wenn etwas zweimal passiert, passiert es sicher auch ein drittes Mal -
Stubentiger schrieb:
bloß wie leicht bekommen auch Hilfsmitarbeiter oder die berühmtberüchtigte Putzfee (mit Sonderaufgaben ;-)) Zugang ins Intranet,
Ich kann es nicht mit Sicherheit sagen, aber ja, soweit ich weiß, hatten selbst die Communitybetreuer (damals [tm]) Zugang von zu Hause aus. -
pandarul schrieb:
Ich kann es nicht mit Sicherheit sagen, aber ja, soweit ich weiß, hatten selbst die Communitybetreuer (damals [tm]) Zugang von zu Hause aus.
Soweit ich mich erinnere wurde das auch in den Foren bestätigt. Das war noch zu Zeiten von Gerda, Matilde usw.
Da gab es durch die User ja auch noch flapsig nett gemeinte Nachfragen, ob denn der Rechner im eigenen Wohnzimmer nicht mal ausbleiben könnte. -
und die hatten dann auch von zu hause aus zugriff auf alle daten!
namen anschrift telefonnummer geburtsdatum
. -
Jein.
eBay-MA mit Berechtigung haben Zugriff auf die Daten eines Accounts, den sie in ihr Tool eintragen, das nur übers Intranet funzt.
Zugriff auf die Datenbank, um automatisiert in großem Stil abzugreifen, hat kein normaler eBay-MA. Auch keiner aus der SH oder von sonstwo, da muß man sich schon bis zum Datenbankadmin, zu Infosec oder wenigstens zu irgendwelchen Programmieren durcharbeiten, wobei die wohl eher auf der Sandbox arbeiten dürften und nicht auf echten Daten. -
-
spiegel.de/netzwelt/web/auch-d…-db-abgriff-a-970903.html
Wie viele Kunden genau betroffen seien, teilte das Unternehmen nicht mit. Es könne aber "eine große Zahl" sein, sagte eine Sprecherin. Deshalb wird jeder Ebay-Nutzer zum Passwortwechsel aufgefordert.
Lies: ALLE. -
Hat jemand von euch seit dem Zeitpunkt auch ein erhöhtes Spammail-Aufkommen? Mag mich vielleicht auch irren, aber soviel wie in den letzten beiden Monaten hatte ich noch nie. Mal 3 alle 2 Monate, aber nun täglich.
-
Ziemlich lustig, vor allem weil der Angriff vor Monaten passiert ist
Jetzt kommt eBay bei den Usern damit an... achso, auch nicht schlecht -
pandarul schrieb:
Das Merkmal "mit echtem Namen angesprochen" zur Unterscheidung zwischen echten und falschen Mails ist z.B. damit obsolet.
Das war ohnehin immer schon nur ein halbwegs brauchbares Anhaltszeichen... Wenn beim Namen nämlich nicht eindeutig erkennbar ist, ob der Kontoinhaber männlich oder weiblich ist (und auch go**le da keine eindeutige Auskunft geben kann, ist es nämlich durchaus üblich, das Mitglied nur mit dem Mitgliedsnamen anzuschreiben... Weil das immer noch höflicher als die falsche Anrede ist
*alte_eule* schrieb:
oweit ich mich erinnere wurde das auch in den Foren bestätigt. Das war noch zu Zeiten von Gerda, Matilde usw.
Da gab es durch die User ja auch noch flapsig nett gemeinte Nachfragen, ob denn der Rechner im eigenen Wohnzimmer nicht mal ausbleiben könnte.
Mein Mann fragt mich auch immer, ob ich nicht mal endlich aufhören könnte mit der Arbeit... Aber ich habe keinen Zugriff von außerhalb...
-
Du bist auch outgesourced und keine echte eBay-MA. Nix für ungut.
-
-
Laurynn,
du hast ja auch keinen offiziellen Forenaccount für drüben - oder doch? *eg* -
Ich höre kein Radio und Ebay ist nicht fähig, seine Nutzer seid März mit einer Nachricht zu informieren.
*alte_eule* schrieb:
Da hier durchweg das Radio läuft, es kam gerade in den Nachrichten. Auf diese Weise kann man seine Kunden natürlich auch informieren - vor allem flächendeckend.
Wenn die Zugriff auf die Datenbank haben und ich ändere jetzt mein Passwort haben die dann nicht gleich wieder Zugriff? Muss mich ja mit meinem alten Passwort einloggen.Mit wem das Pferd nie durchgeht, der reitet einen hölzernen Gaul.
Christian Friedrich Hebbel
-
Wer weiß was die Passwortdiebe so alles im ebax System installiert (angestellt) haben, vielleicht sowieso besser wenn man nicht über alles informiert ist (wird)
Die waren doch vor ein paar Tagen offline, hängt möglicherweise auch damit zusammen ANNE´S WUNDER BAR
OPEN -
*alte_eule* schrieb:
Laurynn,
du hast ja auch keinen offiziellen Forenaccount für drüben - oder doch? *eg*
Nein... Nur meinen eigenen... Auf dem ich gelegentlich ne eBay-Auskotz-Mail von einem genervten Mitglied erhalte... Ein besonders "schönes" Exemplar liegt da in meinem Posteingang... -
evtl. auch die E-Mail-Adresse ändern?
scharfmacher schrieb:
Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt, heißt es weiter. Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten.
falle-internet.de/de/html/pr_fpwtko.php
"Um ein fremdes eBay-Konto zu übernehmen, reicht es aus, Zugriff auf die hinterlegte E-Mail-Adresse zu haben." -
