xaker

У eBay скопировали базу пользователей с хэшами паролей и личными данными

  • пятница, 23 мая 2014 г. в 03:12:24
http://www.xakep.ru/post/62531/

Если с вашего аккаунта на eBay кто-то ставит оценки неизвестным продавцам, меняет реквизиты счетов и проявляет другую странную активность — ничего удивительного. Ещё в конце февраля 2014 года базу пользователей eBay скопировали неизвестные злоумышленники. Они могли свободно распоряжаться полученной информацией до сегодняшнего дня. Отдел безопасности eBay обнаружил взлом в начале мая.

На сторону ушла база, содержащая имена, домашние адреса, даты рождения, номера телефонов, почтовые адреса и парольные хэши.

Компания eBay сейчас рассылает всем 145 млн пользователей предупреждения, рекомендуя как можно быстрее сменить пароль к аккаунту. При этом пострадавших успокаивают, что до настоящего момента «нет свидетельств неавторизованной активности в аккаунтах пользователей и нет следов неавторизованного доступа к информации финансового характера и кредитным картам, которые хранились отдельно в зашифрованном виде». Аккаунты PayPal остались в неприкосновенности. Впрочем, в эти заявления с трудом верится, пока не проведён сторонний аудит. Отдел ИТ-безопасности наглядно продемонстрировал невысокий профессионализм, так что может опять ошибиться. Сторонний аудит «с привлечением лучших специалистов по компьютерной безопасности и правоохранительных органов» начнётся в ближайшее время и будет, как выражается eBay, «агрессивным».

Крупнейшая в интернете торговая площадка стала очередной жертвой в ряду серии крупных утечек приватной информации в последние несколько лет. В данном случае, проникновение осуществлено после компрометации учётных записей небольшого количества сотрудников eBay. Возможно, они использовали такие же пароли, как на других сайтах, с которых парольные базы были скопированы ранее. Затем злоумышленники получили доступ в корпоративную сеть. В такой ситуации взломы происходят по цепочке, и единственной защитой остаётся использование менеджера паролей, который генерирует длинные комбинации символов и помогает периодически обновлять пароли.

Желательно также, чтобы тот же eBay и другие сайты увеличили лимит на максимальную длину пароля с нынешних 20 символов.