Oy vey, eBay! Her har du fem spørsmål…

Sikkerhetsekspert er ikke nådig mot nettkjempen etter datainnbrudd.

Rik Ferguson er global visepresident for sikkerhetsforskning i Trend Micro.

Hvis du skal lage en liste over høyt profilerte datainnbrudd, kan du nå legge til et nytt navn på listen; eBay. I et oppslag i nettsidens nyhetsdel informerer eBay vagt om hva innbruddet omfatter, der selv tittelen ikke evner å fortelle det slik det er.

«Databasen, som ble kompromittert mellom slutten av februar og begynnelsen av mars, inkluderer eBay kunders navn, krypterte passord, e-postadresse, fysisk adresse, telefonnummer og fødselsdato»

Undersøkelser pågår fortsatt, men innleggets ordlyd indikerer at eBay er relativt sikre på at den uautoriserte tilgangen kun gjaldt en database. Hvis du er eBay-kunde bør du foreløpig minst endre passordet ditt på eBay, samt de stedene du eventuelt har brukt det samme passordet (ja, der også). Dessverre er det verre å endre navn og adresse, så det vil foreløpig fortsatt være usikker informasjon.

Så har jeg noen spørsmål til deg Mr. eBay (ja, jeg er sint, dette er MIN personlige informasjon som jeg overlot i din varetekt):

1 - Hvis all den sensitive dataen ble lagret i en eneste database, hvorfor ble det ikke kryptert, ja hvorfor skulle det ikke ha vært kryptert selv på tvers av flere databaser? Jeg registrerer med stor irritasjon at "alt av PayPals finansielle informasjon er kryptert ", kjører dere fortsatt et to-delt system?

2 – Hvis du først sier at informasjonen var kryptert, men at innbryteren fikk tilgang til databasens påloggingsinformasjon, hvorfor fantes det ikke noen to-ledds autorisering for å få tilgang til disse kronjuvelene?

3 – Hvorfor var det kun nødvendig med kompromittert påloggingsinformasjon for å få tilgang til bedriftens nettverk? Igjen, hvor er multi-faktoren?

4 – Hvordan kan det ha tatt tre måneder for en organisasjon med eBays mektige ressurser å finne ut at uautoriserte personer har fått tilgang til sensitiv informasjon? Hvor er systemene som registrerer datainnbrudd?

5 – På hvilken måte var passordet kryptert? Jeg krever detaljert informasjon. Jeg vil vite hvilken algoritme du brukte og hvordan du saltet den. Jeg vil vite sannsynligheten for at mitt passord ble knukket, slik at jeg kan foreta en kvalifisert vurdering av mitt eksponeringsnivå og tilby praktisk hjelp til andre.

Bonusspørsmål – gir ekstrapoeng!

– Hvordan ble de første kontoene brutt inn i og hva skal dere gjøre så det ikke gjentar seg?

Effektiv sikkerhet handler ikke lenger om å holde angriperne ute permanent. Det er ønsketenkning. Hvis de vil bryte seg inn, så klarer de det. Effektiv sikkerhet handler om å akseptere muligheten for datainnbrudd og få på plass systemer og prosesser som kan oppdage innbruddet og reagere i tide. Det er spesielt viktig at det blir så vanskelig som mulig for de som bryter seg inn å forlate databasen med informasjon. Er det tilfellet for deg?

På slutten av innlegget sier du «Det samme passordet må aldri brukes på tvers av flere nettsteder eller konti.» Det er jeg helt enig i. Jeg kommer imidlertid til å avslutte mitt innlegg slik:

Sensitiv informasjon overlatt i din varetekt bør alltid være kryptert, uten unntak.
Og hvis du sender en e-mail der jeg kan klikke på en knapp for å endre passordet mitt, så blir det definitivt ingen julegaver på deg.

Les bakgrunnen for saken:
eBay har blitt angrepet – store mengder data stjålet »

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen