Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

eBay-Hack: Nutzerdaten entwendet – Konzern verschweigt wichtige Aspekte

( Bild: Kazuhisa OTSUBO / Flickr Lizenz: CC BY 2.0)

eBay gibt bekannt, dass bereits im Februar Angreifer Nutzerdaten entwendet haben. Darunter waren Nutzernamen, Postadressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. eBay fordert dennoch alle Nutzer dazu auf, ihre Passwörter zu ändern.

Update vom 23. Mai 2014: Inzwischen ist klar, dass bis zu 145 Millionen Datensätze von dem Leck betroffen sein könnten. Die Datenbank enthielt 145 Millionen Kundensätze, von denen die Angreifer „einen großen Teil“ kopieren konnten. Auf alle weiteren Fragen gibt der Konzern weiterhin keine konkreten Antworten.

Wie so oft bei prominenten Datenlecks in der Vergangenheit (und davon gab es in den letzten Monaten mehr als genug) halten sich die Verantwortlichen in einer solchen Angelegenheit sehr bedeckt. eBay weist lediglich in einer Nachricht auf seiner Corporate-Webseite auf den Datendiebstahl hin. Unter der harmlosen Überschrift „eBay bitte Nutzer, ihre Passwörter zu ändern“ wird bekanntgegeben, dass es bereits Ende Februar und Anfang März weitereichende Angriffe auf eine eBay-Datenbank gab.

Bei eBay wurden Nutzerdaten entwendet und der Konzern bleibt wichtige Antworten schuldig. (Screenshot: ebay.de)
Bei eBay wurden Nutzerdaten entwendet und der Konzern bleibt wichtige Antworten schuldig. (Screenshot: ebay.de)

Schuld war ein kompromittierter Mitarbeiter-Zugang

Die genaue Ursache des Hacks wird nicht weiter benannt, lediglich von einem kompromittierten Mitarbeiter-Zugang ist die Rede. Mit diesem Zugang konnte sich ein Angreifer anscheinend Zugriff auf eine Datenbank verschaffen und deren Inhalt kopieren. eBay gibt bekannt, dass folgende Informationen unverschlüsselt in der Datenbank vorlagen: Nutzername, Geburtstdatum, Postadresse und E-Mail-Adresse der Nutzer. Weiterhin befanden sich darin auch Nutzerpasswörter, allerdings in verschlüsselter und gesalzener Form.

eBay bleibt wichtige Antworten schuldig

eBay bleibt wichtige Antworten schuldig und beweist eine unzureichende Krisen-Kommunikation: Wie viele Datensätze sind betroffen? Mit welchem Algorhithmus wurden die Passwörter verschlüsselt? Wieso wurden überhaupt Nutzerdaten unverschlüsselt abgelegt? Wieso wurde für den betroffenen Mitarbeiter-Zugang keine Zwei-Faktor-Authentifizierung verwendet? Und wieso wird ein solcher Zwischenfall erst viele Wochen später bemerkt bzw. öffentlich gemacht?

eBay-Nutzer sollten ihre Passwörter ändern

Als Sicherheitsmaßnahme fordert eBay alle Nutzer auf, ihr Passwort zu ändern. Ohne Zweifel eine sinnvolle Maßnahme. Je nach verwendeter Verschlüsselung und Salt-Mechanismus der entwendeten Passwörter können Angreifer mittels Brute-Force-Methoden und Hash Tables auch Passwörter im Einzelfall entschlüsseln. eBay betont, dass bisher keine Missbrauchsfälle bekannt geworden sind, denen dieses Datenleck zugrunde liegt. Auch PayPal-Daten sollen von dem Angriff nicht betroffen sein.

Bitte beachte unsere Community-Richtlinien

3 Reaktionen
Anton

Der eBay Umsatz hat sich bei uns seit gestern Abend verdreifacht. So einfach kann man auf sich aufmerksam machen, ob positive oder negative Nachricht spielt dabei keine Rolle, der Rubel rollt. Ebay kassiert natürlich mit an den Verkaufsprovisionen und Bannereinnahmen.

Peter P

Hm, wären die Passwörter state-of-the-art verschlüsselt, würde man sicherlich stolz darauf hinweisen. Das lässt nichts Gutes vermuten.

Das ist natürlich bloße Spekulation, aber ich denke, die für die Öffentlichkeitsarbeit verantwortlichen Personen bei Ebay wissen ganz genau, wie sie eine solche Mitteilungen im bestmöglichen Licht präsentieren können.

reraiseace

Der Tipp mit dem Passwort ändern ist echt gut. Ebay macht es seinen Nutzern allerdings nur unnötig schwer. Ich habe feststellen müssen, das ich mein Passwort nicht über die Kontoeinstellungen ändern kann. Es wird schlicht und ergreifend nicht angenommen. Bei einem erneuten Login wird das alte Passwort akzeptiert, das neue jedoch nicht. Via Passwort vergessen klappts, wobei man das Passwort nur von Hand eingeben kann...

Ich weiß schon, wieso ich Ebay nicht so sonderlich mag.

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst