Komentář Eset: Únik dat z aukčního portálu eBay

Největší globální internetový aukční portál na světě eBay, který má 128 milionů aktivních uživatelů z celého světa včetně České republiky, oznámil ve středu 21. května, že v důsledku kybernetického útoku došlo k úniku osobních údajů jeho uživatelů. K úniku dat došlo na přelomu února a března a společnost eBay jej zaznamenala začátkem května. Varovat uživatele dřív podle společnosti eBay nešlo, aby nebylo zmařeno vyšetřování.

Ve svém upozornění společnost uvedla, že nezjištění útočníci se dostali k databázi, obsahující jména uživatelů, jejich e-mailové adresy, telefonní čísla, data narození a poštovní adresy – všechny tyto údaje byly v databázi nezašifrované – a také zašifrovaná hesla. Společnost eBay zdůraznila, že napadená databáze neobsahovala žádné finanční údaje klientů, které jsou uchovávány separátně a v zašifrované podobě. Přestože hesla byla v napadené databázi zašifrována, eBay doporučuje uživatelům pro jistotu svá hesla změnit.

Bezpečnostní výzkumníci společnosti ESET doporučují uživatelům eBay tento krok rozhodně udělat.

„Není jasné, jaký typ šifrování hesel byl v daném případě použit. Je možné, že šifrování bylo
u některých hesel – možná, že u všech – prolomeno. Je proto opravdu potřeba hesla změnit. Uživatelům eBay, kteří používali stejná hesla i na jiných webech – což je rozšířený, ale velmi nebezpečný zlozvyk – doporučujeme změnit hesla všude, kde je používali,“ doporučuje Lysa Myers, Security Researcher společnosti ESET.

Únik osobních a kontaktních údajů může postižené uživatele navíc vystavit riziku phishingu. Uživatelé eBay by proto nyní měli dávat zvýšený pozor na podezřelé e-mailové zprávy
a rozhodně by v nich neměli klikat na žádné linky.

„Pokud někdo má důvod jít z e-mailu na konkrétní webovou stránku, je lepší zadat adresu do prohlížeče. Ale klikat na linky v e-mailu je pro uživatele, kteří nevědí, jestli jejich údaje nebyly kompromitovány, opravdu riskantní,“ konstatuje Lysa Myers.

Uživatelé eBay doplácejí na to, že tento aukční dům nepatří mezi poskytovatele internetových služeb, kteří svým zákazníkům nabízejí jako doplňkový bezpečnostní prvek dvoufaktorovou autentizaci. Jde o zásadní posílení bezpečnosti, protože uživatel musí kromě běžných přihlašovacích údajů zadat také jednorázové heslo, které mu daná služba doručí například formou SMS zprávy. Tuto možnost v poslední době zavedly například společnosti Google, Facebook, Apple, Twitter a další.

„Je škoda, že eBay svým uživatelům dvoufaktorovou autentizaci nenabízí. Ze způsobu útoku se navíc dá vyvodit, že ani kritické firemní systémy eBay nebyly chráněné dvoufaktorovou autentizací. Bude zajímavé sledovat, jestli únik dat uživatelů přiměje společnost eBay – a také další poskytovatele internetových služeb – posílit zabezpečení svých systémů a dat svých uživatelů,“ dodává Lysa Myers, Security Researcher společnosti ESET.