23 мая 2014

Подтвержденная утечка в eBay: еще один тревожный сигнал о паролях

Бизнес

Сезон, кажется, открыт. Не успела еще осесть пыль после полуапокалиптического откровения в виде Heartbleed, как eBay уже подтвердила критичный взлом своей защиты, вылившийся в кражу персональных данных клиентов. Утечка, кажется, могучая, так как злоумышленникам удалось похитить личные данные работников компании и проникнуть во внутреннюю сеть eBay. Компания не раскрыла подробностей инцидента, так что почвы для предположений хватает. Но они пока не так уж актуальны.

По-видимому, всё это произошло некоторое время тому назад (что уже плохая новость сама по себе). По сообщению eBay Inc., инцидент случился где-то «в конце февраля — начале марта», но сам взлом обнаружился лишь на прошлой неделе. Для расследования были призваны эксперты-криминалисты, и после того как худшие подозрения подтвердились, компания сделала официальное заявление.

Это означает, что преступники имели, по крайней мере, два с половиной месяца, для того чтобы воспользоваться добычей. В число их трофеев, в частности, оказались «имена, зашифрованные пароли, адреса электронной почты, физические адреса, номера телефонов и даты рождения клиентов eBay». Есть и хорошая новость: база данных не содержала никакой финансовой информации или других конфиденциальных личных данных. И еще лучше, что пароли хранились в зашифрованном виде.

ebay800

Тем не менее, это не делает их абсолютно неуязвимыми для хакеров. Как выразился Джеймс Лайн из Forbes, » …Представьте, чего киберпреступники могут добиться с их существенными ботнетами (крупными сетями компьютеров под управлением дистанционного кода, которым злоумышленники могут поручить выполнение любой задачи), вдобавок выигрыш во времени — на их стороне«. Определенно, это так.

Кроме того, как было сказано выше, злоумышленники скомпрометировали «некоторое количество учетных данных работников», что обеспечило им несанкционированный доступ в корпоративную сеть eBay. Следует полагать, что хакеры могли также найти себе ключи шифрования. В этом случае пароли клиентов станут для них легкой добычей. Однако, насчет кражи ключей до сих пор не было никакого подтверждения от eBay, надеюсь, и не будет.

eBay настоятельно рекомендует своим пользователям сменить пароли как можно скорее и никогда не использовать пароли повторно. Последнее — это азы кибербезопасности.

Еще одна хорошая новость: киберпреступникам не удалось заполучить данные кредитных карт, так как они хранятся отдельно (молодцы, eBay). PayPal тоже не был скомпрометирован либо, или, по крайней мере, нет тому никаких свидетельств. «Данные PayPal хранятся отдельно в защищенной сети, и вся финансовая информация PayPal шифруется», — сказано в заявлении компании. Нет и никаких доказательств того, что похищенными личными данными уже воспользовались. По крайней мере, пока нет.

Тем не менее, настоятельно рекомендуется проверить и сменить все пароли как можно скорее, по крайней мере, на самом eBay. Даже если с PayPal все в порядке (если только вы не использовали один пароль и для PayPal, и для eBay), «здоровая доля паранойи» не повредит, и уж точно нелишним будет сменить пароли в обоих местах.

Задействуйте все свои средства для борьбы с фишингом (которыми вы, надеюсь, уже пользуетесь) и оставайтесь начеку. Ясное дело, фишеры теперь собираются попытать счастья, и следует в скором времени ждать лавины вредоносных писем, эксплуатирующих данную тему. Скорее всего, ложные email будут сработаны мастерски, так что дополнительные меры безопасности имеют первостепенное значение.

Если вы владелец бизнеса, вашим работникам, возможно, потребуется прочесть (еще одну?) лекцию о безопасном интернет-серфинге и работе с электронной почтой так, чтобы они не стали жертвами чего-то похожего на то, что предшествовало последнему взлому eBay.

eBay планирует рассылать уведомления своим пользователям по электронной почте, средствами связи самого сайта и по другим маркетинговым каналам с просьбой сменить пароль. Обращение компании заканчивается следующими словами:

«В дополнение к просьбе поменять пароль на eBay компания настоятельно рекомендует клиентам, которые использовали такой же пароль на других сайтах, сменить и эти пароли. Один и тот же пароль не следует использовать для нескольких сайтов или учетных записей».

Важный момент. В самом деле, использование уникальных паролей (особенно там, где дело касается денег и пр.) — это азбука веб-безопасности, нечто настолько важное, что его часто упускают из виду. Практика показывает, что дополнительные напоминания всегда полезны. И как в свое время Heartbleed, так и этот взлом eBay привлекли внимание общества к проблемам паролей.

Что, вероятно, можно считать единственным положительным итогом в этой ситуации.

P.s. По последним данным, утечка данных могла затронуть до 145 миллионов пользователей.