Das Online-Auktionshaus eBay hat bekannt gegeben, dass Hacker in eine Datenbank mit verschlüsselten Nutzerpasswörtern und anderen vertraulichen Daten eingedrungen sind. Das Unternehmen will die betroffenen Nutzer per E-Mail darüber unterrichten und zudem eine Benachrichtigung auf der Webseite veröffentlichen. Die Anwender werden daher bald ihre Passwörter ändern müssen.
eBay sagte dazu bereits, dass es bisher keine unauthorisierten Kundenaktivitäten gegeben habe, die durch den Datendiebstahl ausgelöst worden wären. Zudem gab das Unternehmen bekannt, dass Zahlungsdaten und PayPal-Informationen der Anwender nicht gefährdet seien, da diese Daten – ebenfalls verschlüsselt – auf anderen, nicht betroffenen Servern gespeichert seien.
In einer Stellungnahme sagte ein Sprecher: „Cyber-Angreifer haben eine kleine Zahl Mitarbeiter-Logins kompromittiert, die unauthorisierten Zugriff auf das Firmennetzwerk von eBay erlaubten. Das Unternehmen untersucht den Vorfall zusammen mit Strafverfolgungsbehörden sowie Sicherheits-Experten und nutzt die besten forenschichen Tools und Vorgehensweisen, um die Kunden zu schützen.“
Die in der kompromittierten Datenbank gespeicherten Informationen sollen unter anderem die Namen, verschlüsselte Passwörter, E-Mail-Adressen, Post-Adressen, Telefonnummern und Geburtsdaten von eBay-Nutzern enthalten. Laut eBay wurden die kompromittierten Mitarbeiter-Logins vor zwei Wochen entdeckt. Irgendwann in den letzten zwei Wochen wurde dann die betroffene Datenbank gefunden.
eBay empfhielt den Anwendern, ihr Passwort zu ändern, da bei einem Datenbankeinbruch Nutzerdaten gestohlen wurden.
Tweet
Betroffene eBay-Nutzer sollten mittlerweile eine E-Mail des Unternehmens erhalten haben. Aber auch auf der Webseite soll eine Benachrichtigung dazu veröffentlicht werden. Die Nutzer werden wohl gezwungen sein, ihre eBay-Passwörter zu ändern. Empfohlen ist aber auch, die Passwörter für andere Dienste zu ändern, wenn dort das gleiche Passwort verwendet wird.
Trey Ford, Global Security Strategist der Sicherheitsfirma Rapid7, schrieb in einer E-Mail, dass die Passwörter wohl entschlüsselt werden könnten. Darum ist es so wichtig, dass die Anwender ihr Passwort bei eBay und anderen Diensten, die das gleiche Passwort nutzen, ändern.
Dies ist ein gutes Beispiel dafür, warum Sie niemals das gleiche Passwort für verschiedene Dienste verwenden sollten. Denn wenn Datendiebstähle passieren, erstellen die Angreifer automatisierte Tools, die die gestohlenen Nutzernamen und Passwörter bei allen möglichen beliebten Online-Diensten eingeben, um dadurch auch andere Konten der Anwender kompromittieren zu können.
„Die Anwender sollten sich vor jedem hüten, der sie kontaktiert und vorgibt, von eBay oder einem anderen Unternehmen zu kommen“, so Ford weiter. „Wir erwarten mehr Phishing-Angriffe – klicken Sie also nicht auf Links in E-Mails und geben Sie keine Daten über das Telefon weiter.“ Das ist besonders wichtig: Stellen Sie sicher, dass Sie direkt auf die eBay-Seite gehen, um Ihr Passwort zu ändern. Sie sollten für diese Änderung nicht auf einen Link in einer E-Mail klicken.
Gerade wenn sich die Nachricht über den Datendiebstahl verbreitet, werden Cyberkriminelle erst recht Phishing-Mails erstellen, die vorgeben von eBay oder PayPal zu kommen. Solche E-Mails enthalten normalerweise Links, die auf schädliche Seiten führen, die genau wie die echten Seiten eines Unternehmens aussehen. Dort soll dann ein angeblicher Passwort-Reset durchgeführt werden, doch dabei gibt der Anwender unabsichtlich seine Login-Daten an die Cyberkriminellen weiter.