Datenlücke bei eBay – Kunden sollten Ihre Passwörter ändern

Wie eBay-Kunden nun erfahren mussten, wurden ihre personenbezogenen Informationen kompromittiert. Der Online Auction Giant hat heute verkündet, dass Kriminelle eine Datenbank mitsamt verschlüsselter Passwörter und Daten von Privatkunden gehackt haben. Dem Unternehmen zufolge fand der Angriff zwischen Ende Februar und Anfang März statt. Bisher gibt es aber scheinbar keinen Hinweis darauf, dass auch Finanzdaten betroffen sind, da diese in einer separaten Datenbank abgespeichert waren. Nutzer werden nun dringend darum gebeten, ihre eBay-Passwörter zu ändern.

Dieser Vorfall hätte schlimmer sein können, wenn die Finanzdaten zusammen mit den Passwörtern und persönlichen Kundeninformationen aufbewahrt worden wären. Offensichtich konnten bisher noch keine betrügerischen Aktivitäten auf den eBay-Accounts der Nutzer festgestellt werden. Allerdings ist unklar, welche Art von Verschlüsselung bei den Passwörtern genutzt wurde, deshalb ist noch unsicher, ob nur manche oder alle Passwörter geknackt wurden. eBay-Nutzer sollten auf jeden Fall ihre Passwörter ändern, sowohl auf ebay.com als auch bei allen anderen Accounts, für die sie dasselbe Passwort verwenden.

Weil in der Datenbank auch die Namen, E-Mail-Adressen, Postanschriften, Telefonnummern und Geburtstage von eBay-Nutzern enthalten waren, eröffnet diese Lücke viele Möglichkeiten für andere Betrugsversuche wie Phishing-Angriffe. eBay-Nutzer müssen nun besonders vorsichtig sein bei verdächtigen Nachrichten und sollten es vermeiden, Links in E-Mails anzuklicken (wenn du unsicher bist, öffne die Seite, indem du die URL selbst in den Browser eingibst, statt auf den Link in der E-Mail zu klicken).

Dieser Vorfall wirft die Frage nach der Relevanz einer Zwei-Faktor-Authentifizierung (2FA) auf, die sowohl bei Mitarbeitern von eBay als auch bei eBay-Kunden eingesetzt werden sollte. Wie das Unternehmen erklärt ist der Angriff der Beeinträchtigung von Anmeldeinformationen einer kleinen Zahl von Mitarbeitern geschuldet. Das bedeutet, dass eBay scheinbar von seinen Mitarbeitern keine Multi-Faktor-Authentifizierung fordert, wenn sie auf sensible Kundendaten zugreifen. Das ist sehr besorgniserregend, bedauerlicherweise aber für viele Unternehmen keine ungewöhnliche Praxis.

Viele Webseiten und Online-Dienste, die in den letzten Jahren mit einer ähnlichen Datenlücke zu kämpfen hatten, bieten ihren Nutzern nun eine Zwei-Faktor-Authentifizierung an, um ein höheres Maß an Sicherheit für die Accounts zu gewährleisten (Twitter und Google sind hier zwei bekannte Beispiele). Es bleibt abzuwarten, ob eBay diesem Trend nun ebenfalls folgen wird. Sollte sich das Unternehmen hierfür entscheiden, könnte dies für viele Nutzer in Zukunft einen besseren Schutz bedeuten.

Sollten neue Informationen über die Datenlücke veröffentlicht werden, halten wir dich auf dem Laufenden. Sicher ist, dass sich diejenigen, die den Fall untersuchen, vor allem mit Netzwerksegmentierung und Verschlüsselung auseinandersetzen werden müssen.

Bei Netzwerksegmentierung handelt es sich um eine gängige Strategie, mit der im Falle eines Eindringversuchs in das System der Schaden begrenzt werden kann. Dazu werden Zugriffsrechte auf das System eines Unternehmens so angepasst, dass jeder Nutzer nur auf die Teile des Systems zugreifen kann, die er für seine Arbeit benötigt. Ein Beispiel, wo diese Strategie nicht eingesetzt wurde und es dadurch zu weitreichenden Folgen kam, ist ein Vorfall bei der Target Corporation. Der Klimaanlagen-Hersteller des Einzelhändlers hatte einen vollen Zugriff auf das System, was Kriminelle ausnutzten, um bis zum Kassenterminal vorzudringen.

Als eBay-Nutzer solltest du schnellstens dein Passwort ändern und hierbei darauf achten, dass es komplex ist und du es bei keinem anderen deiner Online-Accounts verwendest. Da es schwierig ist, sich viele unterschiedliche, komplexe Passwörter zu merken, kannst du zudem darüber nachdenken, einen Passwort-Manager zu nutzen, der dir bei der Erstellung und Pflege deiner Passwörter hilft.

Picture Credits: ©Ryan Fanshaw/Flickr 

Autor , ESET