eBay-Hack: Nutzer sollten ihre Passwörter ändern

Und noch ein grosser Corporate-Hack. Wie erst jetzt bekannt wurde, haben Hacker schon im Februar Nutzerdaten inklusive Passwörter von e-Bay-Servern kopiert. Ein Teil der Daten lag unverschlüsselt vor.

Sicherheitshalber empfiehlt eBay deshalb allen Nutzern, ihr Passwort zu ändern. Offen bleibt jedoch, wie es überhaupt zu dem Hack kommen konnte und warum die Nutzerdaten nicht besser abgesichert waren.

Sparsamer kann man mit Informationen kaum umgehen. Lediglich eine beiläufig wirkende Nachricht stellte eBay gestern auf seiner Corporate-Webseite online. Darin heisst es unter anderem, die Cyberkriminellen hätten sich über eBay-Mitarbeiteraccounts Zugang zu den Datenbanken verschafft. Wie das möglich war, wird nicht erklärt. eBay Inc. beteuert jedoch, es handele sich um „nicht-finanzielle“ Daten, also keine Kreditkarten- oder PayPal-Informationen. Diese lägen gesondert in verschlüsselter Form vor und seien auch nicht angegriffen worden.

Konkret „entwendet“ wurden in verschlüsselter Form Nutzernamen, Postadressen, E-Mail-Adressen, Telefonnummern und Geburtsdaten. Die ebenfalls von den Hackern herauskopierten Passwörter hätten verschlüsselt vorgelegen, so die Unternehmenswebseite. eBay arbeite mit Hochdruck daran, die Verantwortlichen zur Rechenschaft zu ziehen sowie die Sicherheit der Nutzerdaten in Zukunft zu gewährleisten, heisst es weiter.

eBay bleibt Antworten schuldig

Unklar ist nach der gestrigen Verlautbarung auch, wie die Hacker zu den Mitarbeiter-Accounts Zugang bekamen. Haben da etwa Angestellte eines grossen Internetunternehmens klassische Netz-Standards verpennt und zu einfache Passwörter verwendet? Oder gar ihr im Zuge des Adobe-Hacks entwendetes Passwort nicht geändert? Abgesehen davon fällt unangenehm auf, dass eBay erst jetzt mit der Wahrheit herausrückt. In den inzwischen vergangenen fast drei Monaten könnten die Hacker mit den Daten alles Mögliche angestellt haben.

Auch andere Fragen bleiben unbeantwortet. Wie viele Datensätze sind betroffen? Mit welchem Algorhithmus wurden die Passwörter verschlüsselt? Wieso wurden überhaupt Nutzerdaten unverschlüsselt abgelegt? Wieso wurde für den betroffenen Mitarbeiter-Zugang keine Zwei-Faktor-Authentifizierung verwendet? Souveränes Krisenmanagement sieht anders aus. Nur eine transparente, unverzügliche Offenlegung solcher Vorfälle zeigt zweifelsfrei, dass das Unternehmen nichts zu verbergen hat und offensiv an der Problemlösung arbeitet.

User sollten Passwort ändern

Den Nutzern bleibt jedenfalls nichts anderes übrig, als ihre Passwörter zu ändern. Denn auch wenn sie in der Datenbank verschlüsselt vorlagen, ist doch eine Entschlüsselung nicht ausgeschlossen. Durch „Brute Force“, also durch reines Ausprobieren oder aber auch mittels Abgleich mit bereits existierenden Passwortlisten aus anderen Hacks können einzelne Passwörter in Klartext verwandelt werden. eBay hat sich diesbezüglich heute per E-Mail an alle Nutzer gewandt.

Das Unternehmen betont aber, es seien bisher keine Missbrauchsfälle bekannt geworden, bei denen das Datenleck eine Rolle gespielt hat.

 

Titelbild: 360b – shutterstock.com

MEHR LESEN