Došlo k jenomu z nevětších bezpečnostních incidentů světového internetu poslední doby. Největší globální internetový aukční portál eBay, který má 128 milionů aktivních uživatelů z celého světa včetně České republiky, oznámil ve středu 21. května 2014, že v důsledku kybernetického útoku došlo k úniku osobních údajů jeho uživatelů. K úniku dat došlo došlo již dříve (na přelomu února a března) a společnost eBay jej zaznamenala začátkem května. Podle prohlášení napadené společnosti nešlo incident veřejně oznámit dříve, aby nebylo mařeno vyšetřování.
Ve svém upozornění společnost uvedla, že nezjištění útočníci se dostali k databázi, obsahující jména uživatelů, jejich e-mailové adresy, telefonní čísla, data narození a poštovní adresy – všechny tyto údaje byly v databázi nezašifrované – a také zašifrovaná hesla. Společnost eBay zdůraznila, že napadená databáze neobsahovala žádné finanční údaje klientů, které jsou uchovávány separátně a v zašifrované podobě.
Přestože hesla byla v napadené databázi zašifrována, eBay doporučuje uživatelům pro jistotu svá hesla změnit. Takový postup doporučují i bezpečnostní odborníci. „Není jasné, jaký typ šifrování hesel byl v daném případě použit. Je možné, že šifrování bylo u některých hesel - možná, že u všech – prolomeno. Je proto opravdu potřeba hesla změnit. Uživatelům eBay, kteří používali stejná hesla i na jiných webech – což je rozšířený, ale velmi nebezpečný zlozvyk – doporučujeme změnit hesla všude, kde je používali,“ doporučuje Lysa Myers, Security Researcher společnosti Eset.
Únik osobních a kontaktních údajů může postižené uživatele navíc vystavit riziku phishingu. Uživatelé eBay by proto nyní měli dávat zvýšený pozor na podezřelé e-mailové zprávy a rozhodně by v nich neměli klikat na žádné linky.
„Pokud někdo má důvod jít z e-mailu na konkrétní webovou stránku, je lepší zadat adresu do prohlížeče. Ale klikat na linky v e-mailu je pro uživatele, kteří nevědí, jestli jejich údaje nebyly kompromitovány, opravdu riskantní,“ konstatuje Lysa Myers a dodává, že riziko by se dalo podstatně snížit zavedením dvoufaktorové autentizace (potvrzení přihlášení třeba jednorázovými SMS heslem). Tuto možnost v poslední době zavedly například společnosti Google, Facebook, Apple, Twitter a další. Ze způsobu útoku se navíc dá vyvodit, že ani kritické firemní systémy eBay nebyly chráněné dvoufaktorovou autentizací.
Zdroj: Eset
Čtěte také:
→ Mobilní malware přebírá triky od PC
Nově zjištěný malware, útočící na zařízení s Androidem, využívá chytrý mechanismus pro řetězové šíření. Jde o techniku, která je u sofistikovaných počítačových hrozeb běžná, ale na mobilních telefonech je to novinka.
→ Eset získal ocenění v ochraně před phishingem
Modul Anti-Phishing dosáhl úspěšnosti 99% v testu, který uskutečnila nezávslá organizace AV-Comparatives.