En el sitio de archivos anónimo Pastebin se ha publicado una supuesta base de datos de clientes afectados por la brecha de seguridad en eBay, reportada ayer. La misma estaba en venta por 1,45 bitcoins, pero la compañía dijo que era falsa y que no contenía datos de clientes reales de eBay.

La lista en cuestión incluía un extracto de 3 mil filas con datos de usuarios de la zona Asia-Pacífico, como nombres, direcciones, números de teléfono y fechas de nacimiento, publicadas como "prueba" de que la información de los 145 millones de clientes del sitio de subastas online está en posesión de cibercriminales. "Las listas publicadas que chequeamos hasta el momento no son cuentas de eBay auténticas", dijo un vocero de la empresa al diario The Guardian.

Como señala nuestra colega Lysa Myers en We Live Security, los usuarios de la lista representan lo que sería una rara muestra de una base de datos de una empresa internacional como eBay. Y el precio exijido, 1,45 bitcoins, parecería sorprendentemente bajo a cambio de información de 145 millones de personas.

Según dicho medio, expertos en seguridad han tratado de determinar el origen de la brecha. La compañía de seguridad digital británica Digital Shadows comparó los datos filtrados con información pública de Facebook y determinó que los nombres del listado eran reales, aunque no pertenecieran a clientes de eBay.

Según el sitio BBC News, el comisionado de información del Reino Unido está trabajando junto a autoridades europeas en lo que respecta a datos, con la idea de tomar acciones contra eBay a raíz de la brecha, ya que la plataforma cuenta con 14 millones de usuarios británicos. En Estados Unidos, los estados de Connecticut, Florida e Illinois conducirán una investigación conjunta.

Mientras tanto, el sitio muestra un cartel de alerta en el que insta a todos los usuarios a cambiar su contraseña:

ebay-cambiar-contrasena

Desafortunadamente, eBay acepta contraseñas cortas de seis caracteres, mientras que lo recomendable es que siempre tengan al menos 8. El parámetro que la plataforma utiliza para determinar la seguridad y la fuerza de una contraseña es débil: calificará como de seguridad "media" a una clave como Password1, simplemente porque supera los 6 caracteres, contiene un número y una mayúscula. ¡Pero esa está lejos de ser una contraseña segura! Les recomendamos leer nuestro artículo Construyendo una contraseña larga y segura.

El hecho de que eBay es dueña de PayPal, podría sugerir que muchos usuarios utilizan las mismas contraseñas para ambos servicios, por lo cual les recordamos que reutilizar claves no es recomendable en ningún caso.