Magazin Unerlaubter Zugriff: eBay-Kunden sollen Passwort ändern

[Philipp Schwinn]

Die besten Methoden, um Kundendaten vor unbefugten Zugriff von außen zu schützen nutzen nichts, wenn sich Hacker Benutzerkennungen bzw. Zugänge von Mitarbeitern verschaffen und aus dem Firmennetz heraus auf Datenbanken der Nutzerdaten zugreifen können. Genau dies ist nun dem Auktionshaus eBay passiert. Wie das Unternehmen mitteilte, haben die unerlaubten Datenbankzugriffe bereits Ende Februar bzw. Anfang März dieses Jahres stattgefunden, sind aber erst vor knapp zwei Wochen aufgefallen. Nach einer internen Untersuchung habe man den Datenbankzugriff bestätigten können, bis zum jetzigen Zeitpunkt aber keine unautorisierten Account-Aktivitäten verzeichnen können.[prbreak][/prbreak]

In den kompromittierten Informationssystemen befanden sich neben Kundennamen und Email-Adresse auch Anschrift, Telefonnummer und das Geburtsdatum. Außerdem die Passwörter in verschlüsselter Form. Von dem Angriff nicht betroffen sind Kreditkarteninformationen, die separat und verschlüsselt gespeichert werden.

Alle eBay-Kunden sind demnach dazu aufgefordert, das aktuelle Kennwort zu ändern. Sollte das identische Passwort auch auf anderen Seiten verwendet worden sein, sollte auch dieses geändert werden. eBay will die Nutzer in den kommenden Tagen auch per Email über den Vorfall informieren.

via eBay

 

[Farafan]

Was mich an der Meldung am meisten erschreckt hat ist die Tatsache das man die Weblogin-Daten vom Mitarbeitern einfach so ohne weiteres zum Einbruch bei Ebay nutzen kann. Hat man dort von der Erfindung des VPN noch nichts gehört?

Und benötigen Unternehmen wie Ebay überhaupt Zugriff auf Millionen Kundendaten via simplem Weblogin?

Mein Account ist jedenfalls ein für allemal gelöscht.

 

[echo.park]

Mein Account ist jedenfalls ein für allemal gelöscht.

Das glaubst du.

In den meisten Fällen wird lediglich der Login lahmgelegt, die eigentlichen Kundendaten liegen noch auf dem Server. Teilweise laut Gesetz sogar bis zu 10 Jahre. Das ist die gängige Aufbewahrungsfrist.

Es gab schon diverse Online-Shops, bei denen ich mein Konto habe löschen lassen. Dann kaufe ich Jahre später wieder dort ein, mein neuer Account wird dem alten zugeordnet und siehe da, die Einkaufshistory und alle anderen Daten sind noch da.

 

[mad8811]

Wie ist es denn mit den verschlüsselten Passwörtern, kann man damit überhaupt was anfangen ? Bzw. gibt es für Dritte eine Möglichkeit diese zu entschlüsseln ?

 

[rootie]

Ja per Brute Force!

 

[Philipp Schwinn]

Du kannst mit den Daten machen was du willst und zum Beispiel Brut-Force-Angriffe darauf durchführen. Die funktionieren mit "Wörterbüchern", in denen neben dem Duden auch erfolgreiche geknackte Kennwörter stehen. Beim Durchprobieren werden die Wörter dann miteinander kombiniert, Zahlen angehängt, Sonderzeichen usw.

Wenn man dazu zum Beispiel mehrere Grafikkarten verwendet, kommt man schon auf ein paar Millionen Versuche pro Minute.

 

[Farafan]

Wie Passwörter gesichert sind (oder eben auch nicht) weiß nur Ebay.

Alleine das es gelungen ist (Zitat) "eine begrenzte Anzahl von Mitarbeiter-Logindaten" abzugreifen ist für ein Unternehmen wie Ebay eine absolute Bankrotterklärung.

 

[echo.park]

Alleine das es (Zitat) "eine begrenzte Anzahl von Mitarbeiter-Logindaten" abzugreifen ist für ein Unternehmen wie Ebay eine absolute Bankrotterklärung.

Ist doch die selbe Klitsche wie PayPal. Die haben mich auch mal gesehen...

 

[Hendrik Ruoff]

hahaha schon wieder die Kommentare "habe mein Account sofort gelöscht" ich könnt mich jedesmal wegschmeißen genau das gleiche wie bei WhatsApp

mein PW ist seit heut Mittag schon geändert und nein ich verlasse eBay deswegen nicht

 

[raven]

die unerlaubten Datenbankzugriffe bereits Ende Februar bzw. Anfang März dieses Jahres stattgefunden, sind aber erst vor knapp zwei Wochen aufgefallen

Ds ist zusätzlich erschreckend. Wir haben mittlerweile Ende Mai. Die Info über Ebay ist heute Abend denke ich auf jeder Zeitung bezw. Onlineportalen. Von Heise bis Bluewin TA, etc.

 

[doc_holleday]

Wie lange dauert's eigentlich noch, bis Online-Einkaufen das Niveau von "hinter dem Bahnhof super-duper Premium-Lautsprecher zu kaufen, die vom Laster gefallen sind" erreicht hat?

 

[Farafan]

Das Problem mit sicherem Online-Einkaufen und zweifelsfreier Identitätsfeststellung ist nicht die fehlende Möglichkeit. Wir haben den elektronischen Personalausweis mit qualifizierter digitaler Signatur.

Hier vermeiden allerdings seit Jahren aus Kostengründen ausnahmslos alle Online-Händler diese wasserdichte Lösung weil sie eben Geld kostet.

 

[doc_holleday]

Sprich, wir als Kunden sollten bei "denen" nichts mehr einkaufen, bis das eingerichtet ist, oder? Anders kommen die ja nicht auf den Trichter.

Aber nein, "wir" Deppen lassen uns brav 30-stellige Kombinationen aus Sonderzeichen und Zahlen einfallen, um unseren Account abzusichern, nur dass das am Ende keinen interessiert, weil die Zugänge von innen abgegriffen werden.

 

[echo.park]

Seit ich 1Password nutze, stört es mich nichtmehr, wenn mal wieder der Aufruf zum Passwortwechsel kommt. Ist dann meist mit drei Klicks in zwei Minuten erledigt.

Was mich aber aufgeregt ist, wenn mal wieder sämtliche persönlichen Daten abhanden kommen. Und dann immer die Aussage der Dienste, dass die Kreditkartendaten nicht betroffen sind. Das ist relativ egal, die anderen Daten sind meist deutlich sensibler.

Mit Name, Adresse, Telefonnummer und Geburtsdatum lässt sich weitaus mehr "anstellen" als mit einer Kreditkartennummer, die ruck zuck für ungültig erklärt werden kann und die Bank für den Schaden aufkommt, das ist bei Kreditkarten so üblich.

// Edit:
Sollte mein eBay-Konto korrekt gelöscht worden sein, bin ich aktuell nicht betroffen, ich zweifle aber daran.

 

[Farafan]

Und den Gipfel finde ich das dazu nicht ein einziges Wort auf der Ebay-Startseite steht. Arroganz gepaart mit Dreistigkeit.

Selbst Herr Burger King entschuldigt sich wortreich in TV-Spots und auf der Homepage für die Missstände der Vergangenheit.

 

[doc_holleday]

Nach 2 Monaten lohnt sich das ja auch nicht mehr...

 

[rootie]

Versteht mich nicht falsch - ich bin ein Sicherheitsfetischist! Aber eine Frage hätte ich dann doch: Angenommen, die klauen die Passwort-Hashes. Ich nutze ein 10-stelliges Passwort mit allen Schikanen. Da dauert Brute Force ja schon sehr lange oder wie ist das mit den jetzigen Rechnern? Ich gehe davon aus, dass eBay auch einen Salt hinzufügt. Wäre super, wenn hier ein Experte kurz Input geben könnte.

 

[F0X1786]

Wenn das Passwort gepfeffert und der Hash gesalzen wurde ist ein Worterbuchangriff völlig sinnfrei. Dazu müssten Salt und Pepper bekannt sein. Sicher kann man das per brute-force versuchen, jedoch würde man für ein gesalzenes Passwort (bestehend aus 10 Zeichen .. Großbuchstaben und Zahlen) ca. 20 Jahre brauchen (bei einer Geschwindigkeit von 7.616.000 Schlüsseln pro Sekunde) ...

Der 'Pepper' ist pro Server einzigartig, daher ist es den 'Hackern' wichtiger an diesen zu kommen. Wenn die eBay-Admins wissen was Sie tun, dann kommt man nur schwer dran..

 

[Farafan]

Wenn die eBay-Admins wissen was Sie tun.......

Wenn sie dies wüssten dann wäre ein solcher Einbruch nicht passiert. Und dann hätte man über Weblogin auch keinen Vollzugriff auf das gesamte Ebay-Intranet erhalten können.

 

[Houseknecht]

Salz, Pfeffer... Kann man ein Passwort auch "ketschupen" oder "senfen", evtl sogar "majonäsieren"???


(Sorry, musste sein^^)