Violation de données eBay : ce que vous devez savoir
Dans l’une des plus importantes violations de données d’utilisateurs à ce jour, eBay a révélé que ses serveurs avaient été compromis en mars 2014. Il n’a rien révélé d’autre que la confirmation que les comptes des employés ont été cooptés et a conseillé aux titulaires de comptes eBay de changer leurs mots de passe.
Alors, que devrais-tu faire? Changer votre mot de passe est-il suffisant ou faut-il aller plus loin ? Peut-être que vos préoccupations s’étendent à d’autres services appartenant à eBay, en particulier PayPal ?
eBay explique ce qui s’est passé
Le mercredi 21 mai, dans un article de blog intitulé « eBay Inc. demande aux utilisateurs d’eBay de changer leurs mots de passe » (un article de blog auparavant vide a divulgué une faille de sécurité qui a permis à plusieurs médias de s’ouvrir sur eBay), la vente aux enchères Le géant a annoncé :
« … Cela obligera les utilisateurs d’eBay à changer leurs mots de passe car une cyberattaque a compromis une base de données contenant des mots de passe cryptés et d’autres données non financières. »
Le message poursuit en expliquant comment l’entreprise (étrangement écrit à la troisième personne, indiquant un manque d’acceptation) n’a trouvé aucune preuve que les informations financières et de carte de crédit ont été compromises à la suite de l’attaque, qui a eu lieu « fin février et début mars ». » Fuite Les informations comprenaient « le nom du client eBay, le mot de passe crypté, l’adresse e-mail, l’adresse physique, le numéro de téléphone et la date de naissance ».
eBay insiste sur le fait qu’il prend l’affaire au sérieux et que « l’entreprise travaille avec les forces de l’ordre et les principaux experts en sécurité pour enquêter activement sur cette affaire et appliquer les meilleurs outils et pratiques médico-légales pour protéger les clients ».
Faire une vidéo du jour
Comment vos données eBay ont-elles été compromises ?
Après la découverte de la faille de sécurité il y a environ deux semaines, eBay a cité « les informations d’identification de connexion des employés divulguées » comme le coupable de l’intrusion. Par la suite, une enquête médico-légale « a identifié une base de données eBay compromise » dans laquelle les données personnelles de chaque utilisateur d’eBay étaient stockées.
Vous devrez peut-être relire le dernier paragraphe.
À l’heure actuelle, on ne sait pas comment les comptes des employés d’eBay ont été compromis. Une suggestion était qu’ils ont peut-être subi une attaque de phishing, dans laquelle un faux e-mail a été envoyé leur demandant de se connecter et de réinitialiser leurs mots de passe sur un site Web d’apparence convaincante. Une autre option – ce ne sont que des spéculations, car eBay a révélé peu de détails sur l’incident scandaleux – est une attaque d’initié qui a rendu la violation possible. Un employé peut-il faire une telle effraction?
Pensez également au nombre de comptes : 145 millions de personnes se seraient fait voler leurs données personnelles. Si cette intrusion est le résultat d’un vol de compte d’employé, une seule personne a-t-elle accès aux 145 millions d’enregistrements ?
Pendant ce temps, la chronologie coïncide avec la tempête Heartbleed. En avril, eBay a assuré aux utilisateurs :
1) Votre compte eBay est sécurisé
2) Les détails de votre compte eBay n’ont pas été exposés dans le passé et sont conservés en toute sécurité
3) Vous n’avez pas besoin de prendre des mesures supplémentaires pour protéger vos informations
4) Pas besoin de changer de mot de passe
Pendant ce temps, le service de changement de mot de passe de démarrage Passomatic a signalé que « tous ses partenaires ont été réparés. Cela inclut eBay ».
Heartbleed pourrait-il être la porte d’entrée vers eBay ? Ou plus embarrassant, l’attention portée à la vulnérabilité OpenSSL pourrait-elle entraîner une perturbation très coûteuse des maisons de vente aux enchères en ligne ?
Faire face aux failles de sécurité
L’un des aspects les plus inquiétants de l’affaire est la chronologie. Il semble remarquable qu’eBay n’ait pas détecté la violation plus tôt, ce qui pourrait indiquer une compétence particulière dans l’opération de piratage (encore une fois, cela pourrait signifier que la sécurité de la base de données d’eBay n’était pas adaptée à l’objectif).
Suite à l’annonce, eBay a déclaré que « les utilisateurs seront informés des changements de mot de passe par e-mail, communications sur le site Web et autres canaux de marketing ». Jusqu’à présent, cependant, aucun rapport par e-mail n’a été reçu, seuls les réseaux sociaux ont émis des notifications.
Vous ne connaissez peut-être pas eBay, Inc., qui possède non seulement le célèbre site d’enchères en ligne www.ebay.com et ses variantes internationales, mais également PayPal.
La publication limitée et sans vergogne des détails d’eBay ne leur rend pas service. Bien qu’ils affirment que leurs autres activités ne sont pas affectées par cette violation, la vérité est que nous ne pouvons pas croire cette affirmation à moins qu’eBay ne prouve qu’ils le savent.
En réalité, il s’agit d’une faille de sécurité catastrophique. La quantité et la profondeur des données volées sur les comptes sont sans précédent.
Pour aggraver les choses, les e-mails de phishing arrivent désormais dans les boîtes de réception du monde entier alors que les escrocs tentent de tirer profit de la violation (bien qu’un aspect inhabituel de cette affaire soit que les données n’apparaissent pas encore du côté obscur d’Internet, ce qui conduit à des spéculation, la violation n’était rien de plus qu’un exercice de relations publiques.)
La capture d’écran ci-dessus a été prise le mercredi 21 mai, le jour où la fuite est apparue. Impossible de trouver des avertissements ou des conseils !
Certaines autres choses que vous devriez considérer. En janvier 2013, il y avait 112,3 millions d’utilisateurs actifs dans le monde et 145 millions d’enregistrements auraient été volés. Cela laisse environ 30 millions de comptes inutilisés susceptibles d’être piratés, suffisamment pour saper les systèmes de notation et de confiance internes d’eBay si les pirates le souhaitent. La confiance est la clé du modèle commercial d’eBay, et sans elle, ses jours sont comptés.
Ensuite, il y a des demandes pour que les gens changent leurs mots de passe. Le site rencontrait déjà des problèmes de performances alors que les utilisateurs affluaient vers eBay pour commencer à changer leurs mots de passe.
Si l’utilisateur peut même trouver l’option de changement de mot de passe (indice : cliquez sur Mot de passe oublié? bouton pour gagner du temps).
Questions sur les données financières : les détails de votre carte sont-ils en sécurité ?
eBay insiste sur le fait qu’aucune donnée financière ou de carte de crédit n’a été compromise, juste les noms d’utilisateur, les mots de passe et les adresses e-mail.
Cependant, il s’agit d’une tentative de contrôle des dégâts pour minimiser la colère.
Supposons que vous vouliez accéder aux détails de votre carte eBay, que feriez-vous ? Connectez-vous ou classez avec votre nom d’utilisateur et votre mot de passe. Bien que le numéro de carte soit en grande partie masqué (à l’exception des quatre derniers chiffres), il peut y avoir suffisamment d’informations ici pour donner aux pirates ce dont ils ont besoin, de la date d’expiration de la carte à la confirmation de votre type de carte, et comment vous l’utilisez Fréquence de. Cette information est certainement suffisante pour cibler une seule personne, peut-être plus si elle est recoupée avec d’autres comptes.
N’oubliez pas que votre identité en ligne est essentiellement un ensemble de données de votre identité physique. Chaque élément – nom, date de naissance, adresse – est comme un puzzle. Au fur et à mesure que de nouvelles pièces seront découvertes, une image plus large de qui vous êtes émergera.
Que devez-vous faire pour protéger vos données ?
eBay a déclaré que toutes ses activités sont distinctes. Cela signifie que les données PayPal sont complètement isolées des données eBay.
Cependant, comme l’entreprise n’a pas précisé comment la violation s’est produite et quels employés ont été touchés, il n’y a aucune raison de prendre le commentaire au sérieux.
Par conséquent, nous vous recommandons de modifier vos mots de passe eBay et PayPal. Assurez-vous qu’ils sont différents et différents de ceux utilisés pour tout autre compte en ligne. Faites également attention aux conseils d’eBay et fournissez les adresses de vos autres comptes en ligne avec le même mot de passe. Nos conseils pour créer un mot de passe sécurisé devraient vous aider. Vous pouvez également les stocker dans un service ou une application sécurisés, tels que LastPass.
Aux États-Unis, PayPal propose un système d’authentification à deux facteurs qui utilise un petit outil portable pour créer des codes. Bien qu’eBay ne semble pas disposer d’un système similaire, vous pouvez en utiliser un sur les sites d’enchères après avoir enregistré votre appareil PayPal. Comme vous pouvez le voir, ces outils ont été mal mis en œuvre et promus, mais l’authentification à deux facteurs est indispensable pour tout service en ligne qui stocke des données vous concernant.
N’oubliez pas qu’il s’agit de vos données qu’eBay reconnaît comme perdues. Votre nom, adresse, numéro de téléphone, anniversaire… Vous pouvez changer votre mot de passe, mais pas.
Cette violation a été désastreuse pour eBay
Comme mentionné précédemment, nous pensons que changer votre mot de passe et adopter l’authentification à deux facteurs pour eBay et PayPal (si disponible) est la meilleure pratique.
Cependant, si l’on considère le manque d’informations sur la violation, le potentiel d’attaques d’initiés, le manque de données à vendre, les 30 millions de comptes de robots qui pourraient saper la cote de confiance des vendeurs d’eBay et l’incapacité à faire face aux réinitialisations de mot de passe, il y en a un plus de question à poser. Voulez-vous vraiment être membre d’un site Web qui traite les données des utilisateurs et les failles de sécurité de cette manière ?
Si vous pensez « Mais eBay est le seul site d’enchères décent! », alors vous vous trompez complètement, car il existe de nombreuses alternatives que vous devriez vérifier.
Cependant, nous vous encourageons à réfléchir sérieusement à ce problème. Cela ne sauvegardera peut-être pas vos données volées, mais suffisamment de personnes votent avec leurs pieds pour donner aux autres entreprises des raisons d’agir de manière responsable dans ces situations à l’avenir.
Avez-vous reçu un e-mail d’eBay ? Avez-vous changé votre mot de passe ? Que pensez-vous de cette brèche ?
Faites-nous part de vos réflexions dans les commentaires.
Crédit d’image : wk1003mike via Shutterstock.com
A propos de l’auteur
