eBay сообщает о взломе: меняйте пароли

    image

    Несколько минут назад крупнейший в мире интернет-аукцион eBay сообщил об удачной попытке взлома. Хакеры получили доступ к той части базы данных eBay, где хранятся хеши паролей всех зарегистрированных пользователей. Специалисты компании утверждают, что личные данные пользователей и финансовая информация остались недоступны хакерам — они хранятся отдельно и хорошо зашифрованы.

    Согласно предварительному расследованию, результаты которого опубликованы на корпоративном сайте eBay, взлом произошел в конце февраля/начале марта этого года. Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.


    В течении 24-х часов пользователи eBay должны получить официальное уведомление с информацией о взломе и рекомендации по смене пароля на самом eBay и на всех сайтах, где пользователь использовал такой же пароль.

    Ссылка на официальное заявление eBay: blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords
    Поделиться публикацией

    Комментарии 114

      +24
      Я конечно не гуру в криптографии и безопасности, но мне всегда было интересно, почему всегда оказывается, что сливают только «хеши паролей всех зарегистрированных пользователей», а «личные данные пользователей и финансовая информация» остаются недоступными хакерам? Они не нужны хакерам? Не думаю. Они лучше защищены? Почему тогда не защищать хеши паролей таким же образом?
        +7
        Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.
        Имя, дата рождения, домашний адрес, телефон и электронная почта — чем не личные данные пользователей?
        А финансовая информация вполне может храниться отдельно — на отдельном сервере, например. Возможно, это требуется для какой-нибудь сертификации, потому и получается, что этот сервер защищён лучше.
          0
          Мой комментарий был написан до обновления статьи.

          Но все равно, вопрос остается открытым: Почему не хранить всю секретную информацию так же хорошо, как и финансовую информацию? Ну вернее вопрос переходит в разряд риторических, так как ответ понятен: это наверняка дороже, а процент взломов и утери паролей в пределах допустимого
            0
            А финансовая информация у них и не хранится, она хранится у процессинговых компаний — например тот же PayPal.
              +11
              То есть фактически, eBay говорит, что, мол, «нас сломали и слили всё, но данные кредиток не угнаны, так как хранятся они у Пейпела, а Пейпел пока не сломали»?
                +5
                Так и есть. Компании не имеют права хранить у себя данные карты, они хранятся у процессинговых компаний с сертификатом PCI DSS. Сертификация эта ставит довольно серьезные требования, например админов должно быть двое и у каждого по куску пароля; регулярное сканирование на уязвимости; аттестация сотрудников каждый год; физическая безопасность серверов; и т.п. Аудиторы, которые выдают этот сертификат, несут огромную финансовую ответственность, в случае взлома процессинга.

                Когда говорят «данные карт не украдены», имеют ввиду «они не могли быть украдены, потому что хранятся не у нас».
                  +1
                  При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают. В большинстве случаев, но бывали исключения. И сертификация не даёт 100% гарантии, что на следующий день после получения сертификата базу не расшифруют и не сохранят как excel файлик на рабочем столе. Идеальный вариант иметь везде уникальные login-password-email, но это мучительно.
                    0
                    Если таки хранят, то в случае взлома будут ой какие проблемы с Visa/MasterCard. Но конечно все могут наломать дров
                      +1
                      Хронопэю в своё время ничего не было за взлом. Продолжает работать.

                      (Врублёвского посадили за другое.)
                        +1
                        Это Россия
                          0
                          выпустили уже
                        0
                        > При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают.

                        У вас сам eBay спрашивал данные кредиток?
                          0
                          Почему все «заклиниваются» на кредитках? У меня на ebay еще с тех веков, когда PayPal был самостоятельной конторой, внесены данные о номере моего счета в банке, чтобы он снимал плату за аукционы. Тоже, как бы, немаловажно.
                            0
                            Потому, что выше

                            > Компании не имеют права хранить у себя данные карты, они хранятся у процессинговых компаний с сертификатом PCI DSS.
                        0
                        Не стоит забывать, что PayPal — дочернее предприятие eBay :) Они вполне могут в один момент и совместить все в одной БД, назвав ее «мега-защищенной».
                          +2
                          И постараться получить PCI DSS на всю систему в целом, да
                    • НЛО прилетело и опубликовало эту надпись здесь
                      +34
                      Вопрос из серии «если черный ящик не разбивается при крушении самолета — почему самолет не делают из того же материала?»
                    0
                    Думаю потому, что это данные для авторизации и скорее всего они лежат в какой-нить Nosql базе в районе фронтендов.
                    0
                    Можно предположить, что предостережение могло быть опубликовано в связи с тем, что блог PayPal взломали и опубликовали новость в качестве шутки, либо у системы действительно возникли серьезные проблемы с безопасностью. В любом случае, сменить пароль в аккаунте eBay будет нелишним.

                    Отсюда

                    А тут и про утечку других данных говорят.
                    rusplt.ru/news/ebay-prosit-polzovateley-smenit-paroli-v-svyazi-s-kiberatakoy-136824.html
                      0
                      Проапдейтил пост. Согласно корпоративному сайту самого eBay — все очень грустно.
                      +5
                      Очень грустно, что я не могу найти где пароль сменить
                        +5
                        Я нашел: Там где «здравствуйте, юзернейм» — «Настройки учетной записи». Дальше слева «Личная информация» и там поле пароля «отредактировать». Можно вот по ссылке (если она работает). Собственно, вспомнить старый надо будет и вбить новый.
                          +1
                          На странице логина всегда есть линк «Forgot password».
                          0
                          Спасибо за информацию
                            +6
                            Ну, я почему-то не так боюсь хешей паролей — ведь их ещё расшифровать надо.

                            Но что же на счёт финансовой информации?
                              +1
                              Подозреваю, что тоже не так страшно, процессинг же идёт через пейпал.
                                +2
                                Продавцы могут платить за услуги eBay через кредитку, которая хранится на eBay.
                                0
                                Так как помимо хешей паролей утекла часть личной информации, она может быть использована для того, чтобы завладеть аккаунтами пользователей на других ресурсах.
                                  +28
                                  О нет, придётся сменить домашний адрес, имя, телефон и дату рождения =(
                                    +1
                                    Используя эти данные можно пробовать сменить пароли на других ресурсах. Недавно была история когда захватили twitter аккаунт пользуясь информацией которую нашли в поиске.
                                  +2
                                  Опять небось окажется что это были несолёные MD5
                                  +1
                                  Спасибо LastPass за возможность иметь стойкий пароль для каждого сайта и не помнить его.
                                    +19
                                    Скажете спасибо, когда взломают LastPass :)
                                      +25
                                      s|LastPass|KeePass|
                                        –2
                                        да и черт с ним, 3 -4 пароля можно удержать в голове на всякие пейпалы и клиент-банки, все остальное лучше генерировать каждый раз заново, а не использовать 1 пароль на всех ресурсах.
                                          +2
                                          Ну, при наличии стойкого мастер-пароля пользы хакерам от этого взлома не будет — если LastPass не врёт, конечно, и всё шифрование выполняет на клиенте, причём без скрытых супер-ключей которые дали бы ему доступ к паролям пользователей.

                                          А вообще, как у LastPass с бэкапами? Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям? Или есть возможность их регулярно бэкапить в локальный файлик/dropbox и при необходимости отконвертировать базу паролей в формат KeePass?
                                            +4
                                            А что мешает использовать KeePassX+dropbox+Firefox с мастер-паролем или другой браузер? В Чем преимущество?
                                              +1
                                              С поддержкой ios, android у KeePassX как?
                                                +5
                                                У KeePassX с Android нормально.
                                                Так и использую: KeePassX+dropbox
                                                  +4
                                                  Спасибо, не знал про этот инструмент, много лет на LastPass о замене как-то и не задумывался, все устраивало. Плюсик в карму за расширение кругозора.
                                                  0
                                                  Обратите внимание на Safe In Cloud. Облачная синхронизация, шифрование, клиенты под большинство ОС, плагин для браузеров. Заменил ею KeePass.
                                                    0
                                                    С поддержкой IOS тоже все хорошо.
                                                    +7
                                                    Мне — ничего, я именно KeePass и использую. Просто когда выбирал между LastPass и KeePass я удивился, из каких соображений люди могут предпочесть LastPass — поэтому и продолжаю прояснять для себя этот вопрос.
                                                      –1
                                                      Тут конечно же теперь есть слабая точка dropbox — что если его взламают, а БД вскроют беребором. :(

                                                      Тоже использую почти такой же набор, только недавно перебрался на платный 1Password.
                                                        +5
                                                        > а БД вскроют беребором

                                                        Ну удачи в переборе.
                                                          0
                                                          Интересно, я и не знал про 6000 encryption rounds. Даже с распределенной системой займет года, чтобы вскрыть одну БД.
                                                            0
                                                            У меня лично там куда больше 6000 encryption rounds. На i5 база расшифровывается секунду. Так что брутфорсить такую базу придётся очень-очень-очень долго.
                                                          +1
                                                          owncloud для особых параноиков. А вообще криптография тем и сильна, что можно зашифровать все государственные секреты и разослать вместе с фотографией своей задницы в конверте всем спецслужбам мира.
                                                            0
                                                            Можно дополнительно поместить файл с ключами в контейнер EncFS/Cryptonite (ROOT).
                                                          +1
                                                          Клиент LastPass имеет локальную зашифрованную мастер-паролем базу, надо лишь иногда синхронизировать клиент с общим хранилищем.
                                                            +1
                                                            Dropbox/owncloud/BTSync/google drive + keepassx аналогично. Я не придираюсь. Просто ищу причины использовать не gpl ПО.
                                                              +1
                                                              > owncloud

                                                              Немного оффтопика, если позволите.
                                                              Я теперь всем рекомендую вместо OC использовать вот это — pyd.io/.
                                                              Намного круче в плане фич. Ну и шустрее работает. Единственный минус — десктопный клиент не очень гут, но его сейчас переделывают уже.
                                                                0
                                                                Потыкаю. Но я на owncloud уже плотно подсел и вполне доволен.
                                                                  0
                                                                  Я вот тоже больше года OC вовсю использовал. А поставил сабж «напосмотреть» в виртуалку, и внезапно понравилось.
                                                                  0
                                                                  CalDav\CardDav не умеет или я не нашел?
                                                            0
                                                            helpdesk.lastpass.com/tools/exporting/
                                                            lastpass.com/support.php?cmd=getfeaturefaq&feature=feataure_16

                                                            Вот так у ластпасс с бэкапами

                                                            И специально для вас на

                                                            >Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям?

                                                            lastpass.com/support.php?cmd=showfaq&id=956
                                                          –2
                                                          Зачем эти сложности? Почему нельзя забить в поле пароля длинную (десять-пятнадцать слов) фразу?
                                                            0
                                                            Вы не поверите, но существует довольно много ресурсов, имеющих ограничение на длину пароля…
                                                              +4
                                                              Да и вообще, существует очень много ресурсов, где регистрировался за годы сетевой активности. На большинство из которых заходишь не чаще, чем раз в полгода. Держать в голове сотню фраз? Использовать один пароль на все? Ни то, ни другое не вариант.
                                                              0
                                                              У ebay ограничение 20 символов. Место для хешей экономят, не иначе.
                                                                0
                                                                С чего вы взяли? Я вчера, прочитав пост, 25 впендюрил.
                                                                Это там приписка такая, «рекомендуем пароли от 6 до 20 символов».
                                                                  0
                                                                  А. А зачем они тогда это пишут?
                                                                    +1
                                                                    Дык у них спросите :)
                                                                    О нас, наверное, заботятся, а то забудем длинные пароли…
                                                                  0
                                                                  Место для хешей экономят
                                                                  — Это вы так шутить изволите?
                                                                    0
                                                                    Я возможно недопонимаю что-то. Но разве хеш не фиксированной длины? Независимо от того, что именно подали на вход.
                                                                      0
                                                                      Вот и я об этом. Другое дело, что некоторые реализации функций хеширования обрезают входные данные просто «из вредности».
                                                                        0
                                                                        Тоже читал где-то, но там довольно длинные строки можно было скармливать: до 64 что-ли символов…
                                                                          +1
                                                                          Вот здесь, наверное: habrahabr.ru/post/211645/.
                                                                            0
                                                                            Точно, спасибо. Там про 72 байта говорится.
                                                              0
                                                              Все хорошо, но где ссылка на первоисточник?

                                                              Для тех, кому тоже интересно: Ebay Inc. to ask ebay users to change passwords
                                                                +1
                                                                А если всегда пользовался PayPal, то тогда из-за финаносовой информации можно не беспокоиться?
                                                                  0
                                                                  Всегда нет, но в данном случае да. К PayPal удобно привязывать виртуальные карты, тогда в случае взлома PayPal нужно будет минимум действий в реальном мире.
                                                                  –16
                                                                  Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.

                                                                  Эта «секретная» личная информация лежит в открытом доступе в социальных сетях.
                                                                  Это как трамвай угнать — круто, помпезно и никому не нужно.
                                                                    +19
                                                                    Дайте пожалуйста ссылку на базу из 120 миллионов домашних адресов, телефонов и имен. Очень интересно посмотреть.
                                                                  +23
                                                                  Тут вопрос в другом. Почему я узнаю о проблеме здесь?? На ящике пусто. Мне кажется, они должны были сделать рассылку в первые часы.
                                                                    +2
                                                                    Пользователей слишком много. Разослать 120 млн имейлов — нетривиальная задача. Сейчас, насколько я понимаю из пресс-релизов, они решают как именно будут уведомлять пользователей.
                                                                      +12
                                                                      Решать, как именно — это шикарно. Но я вот только что залогинился со старым паролем, и ни одна, скажем так, eBay, не предупредила, что нужно этот самый пароль поменять. Ни одного, понимаешь, замызганного попапа со словами прости меня, дуру грешную.

                                                                      Вероятно, они там или в шоке, или сурово пьют. Что, впрочем, с точки зрения юзера — одно и то же.
                                                                        0
                                                                        Я думаю что изменения на таком сайте как eBay — не так уж и просто делаются, недостатки большой компании. Кроме того, там «приниматели решений» отдают себе отчет в том, что 90% их юзеров узнает об этом, в лучшем случае завтра, а то и вообще не узнает, так что они не особо торопятся. Взлом был почти два месяца назад, сейчас уже торопиться некуда.
                                                                          0
                                                                          Так тем более — уж за месяц могли бы неторопливо всех уведомить по почте. Как раз бы успели. Успевают же всякую рекламу рассылать между делом.

                                                                          В общем, странная история. Похоже на наше типично русское раздолбайство. Интересно, не купили ли мы их, случаем, как LJ, например? Ну это так, в плане шутки, конечно.
                                                                            +2
                                                                            Дык они только недавно обнаружили :)

                                                                            А раздолбайство — штука международная.
                                                                            0
                                                                            Так два месяца назад и могли бы предупредить.
                                                                              0
                                                                              Так два месяца назад о взломе еще не знали
                                                                          0
                                                                          Можно было сделать предупреждение при заходе на сайт.
                                                                            0
                                                                            Разослать 120 млн имейлов — нетривиальная задача.

                                                                            Для сайта на Джумле.

                                                                            Для энтерпрайза есть решения, которые разошлют этот объем за день (и быстрее).
                                                                              0
                                                                              Серьезно? 120 млн? Даже рассылая по 100 мейлов в секунду, это две недели.
                                                                                0
                                                                                Серьезно. 100 мейлов в секунду — я думаю у Ebay это слабенькая штатная нагрузка по уведомлениям. Не далее как вчера обсуждали похожую тему с другом. Они на PowerMTA поднимали 2 миллиона писем в час. Энтерпрайз-решения — это не свой Exim на VPS-ке Хецнера.
                                                                                  0
                                                                                  Я очень хорошо знаю что такое энтерпрайз решения для рассылок. Письмо явно не текстовое, в нем логотип, картинки, инструкции по смене пароля. Все это много трафика и SSL сессий, это все не происходит мгновенно. Я уже не говорю про DKIM и специфику рассылки в некоторых странах. Разослать такой объем практически нереально за короткий период времени.

                                                                                  В энтерпрайз рассылках клиенты сегментируются, и разные кампании рассылаются разным группам клиентов с разных рассылочных сервисов.
                                                                                  0
                                                                                  Это если с одного сервера
                                                                            +1
                                                                            Теперь понятно как мою учётку ломанули на PayPal (они нынче с ебеем тесно связаны). Слава богу я вовремя заметил и поменял пароль отменив транзакцию.
                                                                              –1
                                                                              НЛО прилетело и опубликовало эту надпись здесь.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  0
                                                                                  1. В оригинале по ссылке из статьи пароли зашифрованы а не захешированны, и то не факт, не надо к тому же забывать что eBay это старинная компания из 90ых.
                                                                                  2. Вы далеко не единственное уязвимое звено на пути к получению дополнительной личной/финансовой информации и взлому, есть десятки случаев типа habrahabr.ru/post/149179/ и наверняка во много раз больше не афишированных где простая социальная инженерия может свести на нет любые правила/политки/фаерволы/итд.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    +1
                                                                                    Тем временем смена пароля не работает, или работает некорректно.
                                                                                      0
                                                                                      Ну нихрена себе!
                                                                                      «This email address isn't registered on eBay. Please enter a different email address or register to continue.»
                                                                                      Это после попытки сброса пароля, которую никак не обойти (принудительно требуют сбросить), которая закончилсь ловами, что мол простите-извините, наши сервера перегружены, попробуйте позже.
                                                                                      Попробовал позже, блин!
                                                                                        0
                                                                                        Ура, это было временно. Похоже, система сброса паролей не справилась, и ее отключили — смог зайти в аккаунт по старому и сменить вручную.
                                                                                        0
                                                                                        Я правильно понимаю, что если я зарегистрировался в апреле/мае, то бояться нечего, ведь база слита в феврале/марте?
                                                                                          +1
                                                                                          Периодическая смена паролей ещё никому не мешало в плане безопасности.
                                                                                          0
                                                                                          не дают сменить пароль
                                                                                          пишут:

                                                                                          Page not available

                                                                                          Ebay is asking its users to reset their passwords due to the unauthorized access to our corporate information network. This may result in a delay of service due to the high traffic volume. We ask for your patience and that you return to eBay soon.


                                                                                          upd
                                                                                          после логаут/логин все заработало
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              +8
                                                                                              Держите нас в курсе
                                                                                              +1
                                                                                              Только мне кажется странным, что ebay не разрешает вставлять пароль через Ctrl+V?
                                                                                              На двух браузерах попробовал — фича осталась.
                                                                                              Как они предлагают пару раз вбивать 20 символьный пароль с цифрами, буквами и спецсимволами и не ошибиться?
                                                                                                +2
                                                                                                Самодурство, сэр.

                                                                                                Просто откройте Фаербаг, и уберите у поля (тэг input) атрибут «onpaste».
                                                                                                  0
                                                                                                  Firefox, Kubuntu 14.04. Все вставилось. У меня пароль — случайная каша.
                                                                                                    0
                                                                                                    Так же, как и при последующих вводах: вводя — не ошибаться :)
                                                                                                      0
                                                                                                      Не позволяет через контекстное меню. Ctrl+V работает. Chrome.
                                                                                                      +4
                                                                                                      На самом деле произошло нечто, очень близкое к катастрофе (с точки зрения утечки личных данных). Все дело в том, что для идентификации (по телефону, в интернете) в США используется комбинация номер социального страхования — дата рождения — фамилия и имя — домашний адрес.

                                                                                                      Еbay ухитрился сдать хакерам три из четырех параметров, причем абсолютно не ясно, зачем он хранил в незашифрованном виде дату рождения. Она нужна только в момент регистрации для подтверждения того, что пользователю больше 18 лет.
                                                                                                        +3
                                                                                                        eBay прислал на почту уведомление поменять пароль)
                                                                                                          +1
                                                                                                          Мне сегодня пришло.
                                                                                                          0
                                                                                                          Spaces and certain symbols (< >[ ]//) are not allowed in password.

                                                                                                          Злобный ибей.
                                                                                                            0
                                                                                                            Кстати, кто в теме, почему? Неужели есть какие-то подводные камни в обработке всех печатаемых символов?

                                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                          Самое читаемое