Όταν το eBay παραδέχθηκε την Τετάρτη ότι είχε πέσει θύμα μιας κυβερνοεπίθεσης, η εταιρεία ζήτησε από από τους 145 εκατομμύρια ενεργούς χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους. Αλλά οι εισβολείς είχαν πρόσβαση σε μια βάση δεδομένων πελατών που περιελάμβανε και άλλες προσωπικές πληροφορίες, όπως ονόματα, διευθύνσεις και ημερομηνίες γεννήσεως – δεδομένα που δεν μπορούν τόσο εύκολα να αλλάξουν.
Τα καλά νέα είναι ότι το eBay αναφέρει ότι δεν διέρρευσε καμία οικονομική πληροφορία. Τα οικονομικά στοιχεία ήταν αποθηκευμένα σε διαφορετικά συστήματα, και το eBay αναφέρει ότι δεν υπάρχει καμία απόδειξη ότι όλα τα δεδομένα της PayPal τέθηκαν σε κίνδυνο. Τα κακά νέα είναι ότι τα δεδομένα που διέρρευσαν είναι σημαντικά.
Εκπρόσωποι του Ebay ανέφεραν στο Mashable, ότι η εταιρεία δεν γνωρίζει πόσοι από 145 εκατομμύρια ενεργούς λογαριασμούς αποκτήθηκαν από τους εισβολείς. Εκατομμύρια άλλοι ανενεργοί λογαριασμοί θα μπορούσαν επίσης να έχουν επηρεαστεί.
Να αναφέρουμε για άλλη μια φορά, ότι τα δεδομένα που διέρρευσαν είναι πολύ σημαντικές πληροφορίες. Η επίθεση εναντίον του δημοσιογράφου του Wired, Mat Honan απέδειξε, ότι αν οι hackers αποκτήσουν πρόσβαση σε λίγες μόνο προσωπικές πληροφορίες- όπως τον αριθμό τηλεφώνου, το ηλεκτρονικό ταχυδρομείο και τη φυσική διεύθυνση – σε συνδυασμό με ένα καλό παλιομοδίτικο social engineering μπορούν να προκαλέσουν ανεπανόρθωτες ζημιές.
Η διαρροή περιλαμβάνει την ημερομηνία γέννησης, τον αριθμός τηλεφώνου και τη φυσική διεύθυνση. Αυτό το είδος των δεδομένων μπορεί να καταστήσει εύκολο για τους εγκληματίες να παρακάμψουν τις ρυθμίσεις ασφαλείας.
Ο ερευνητής Ashkan Soltani σημειώνει, ότι τουλάχιστον ένα άτομο ισχυρίζεται ότι πουλάει την υποτιθέμενη βάση δεδομένων των χρηστών της εταιρείας. Το εν λόγω πρόσωπο θέλει 1.453 BTC (περίπου 753 δολάρια) σε αντάλλαγμα για την πρόσβαση σε μια βάση που περιέχει 145.312.663 μοναδικές εγγραφές. Σύμφωνα όμως με το eBay, δεν μπορεί να ισχύει κάτι τέτοιο.
Ο δημοσιογράφος και ερευνητής ασφάλειας Brian Krebs αναφέρει ότι είναι πολύ πιθανό οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρίσκονται στα δεδομένα που διέρρευσαν να αρχίσουν να λαμβάνουν περισσότερα spa . Αναφέρει επίσης ότι τα spam «θα περιλαμβάνουν κατά πάσα πιθανότητα επιθέσεις phishing με στόχο την κλοπή στοιχείων σύνδεσης ή και τη διάδοση malware.»
Ο Krebs πιστεύει ότι αυτό το είδος της βάσης δεδομένων θα είναι «ένα χρυσωρυχείο για τους καλλιτέχνες της τηλεφωνικής απάτης»
Τα δεδομένα δεν ήταν όλα κρυπτογραφημένα
Είναι συγκλονιστικό το γεγονός ότι τα ονόματα, οι αριθμοί τηλεφώνου, οι ημερομηνίες γέννησης, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και διευθύνσεις κατοικίας ήταν όχι μόνο δεν είναι κρυπτογραφημένο – αλλά αποθηκεύονταν σε μορφή απλού κειμένου.
Τα στοιχεία αυτά δεν είναι προαιρετικά. Για να εγγραφείτε σε έναν λογαριασμό eBay, ο χρήστης θα πρέπει να δώσει ένα όνομα, τη διεύθυνση και τον αριθμό τηλεφώνου του. Αν θέλετε να πουλήσετε κάτι στο eBay, θα πρέπει να δώσετε μια ημερομηνία γέννησης που δείχνει είστε άνω των 18 ετών.
Έτσι με τους 145 εκατομμύρια ενεργοί λογαριασμοί του eBay που διέρρευσαν, οι χρήστες ουσιαστικά παρέδωσαν την ασφάλεια τους στην εταιρεία, η οποία την αποθήκευσε σε μορφή απλού κειμένου.