Aukční servis eBay ve středu nejprve vyzval uživatele, aby si změnili svá přístupová hesla. Hned poté uvedl, že databázi napadli někdy na přelomu února a března hackeři. Ta obsahovala informace, jako jsou jména zákazníků, zašifrovaná hesla (útočník se k nim může dostat, jen pokud je rozšifruje), e-maily a fyzické adresy, telefonní čísla a data narození.
Jak zacházet s hesly na internetuHeslo, které používáte na důležitých stránkách, nepoužívejte nikde jinde. Abyste si nemuseli pamatovat stovky hesel, můžete použít jejich správce, např. LastPass nebo KeePass. Heslo nikomu nesdělujte. Tam, kde to jde, používejte dvojitou (dvoukrokovou) ochranu.
Více o tom, jaká (ne)používat hesla, si přečtěte v našem předchozím článku. Psali jsme také o ochraně soukromí na internetu obecně. |
Mluvčí firmy Amanda Millerová Reuters později řekla, že hesla uživatelů byla zašifrovaná a že není důvod obávat se, že útočníci prolomili jejich kód. Upřesnila, že hackeři zkopírovali větší část uživatelské databáze, nedostali se ale k finančním údajům v podobě čísel platebních karet. Také systém PayPal, který firma provozuje, nebyl kompromitován.
I tak je rozsahem tento útok hackerů druhý největší v historii. Největší krádeží dat nadále zůstává útok hackerů z loňského října, kdy získali nelegální přístup ke 152 milionům účtů u softwarové firmy Adobe.
Firma sdělila, že se o útoku dozvěděla počátkem května a ihned jej začala vyšetřovat s pomocí bezpečnostních expertů a policie. K vyšetřování útoku si najala známou firmu Mandiant patřící FireEye. Mandiant se proslavil, když publikoval v únoru 2013 zprávu, v níž popisoval tzv. Šanghajské útoky vedené hackerskou skupinou napojenou na Čínskou lidově osvobozeneckou armádu..
Změňte si hesla
Experti na počítačovou bezpečnost doporučili uživatelům, aby dávali pozor na možné podvody a ihned si po jistotu změnili přístupová hesla, zvláště pokud tatáž hesla používají i jinde. Firma ale zatím žádnou zvýšenou podvodnou aktivitu na své hlavní aukční stránce nezaznamenala.
"Firma eBay používá snadněji prolomitelnou metodu ochrany hesel, které schraňuje. Existují dva běžně používané způsoby zabezpečení hesel, šifrování a hašování. Společnost eBay si vybrala metodu šifrování, kterou lze prolomit snadněji," řekl na serveru USA Today Michael Coates, ředitel bezpečnosti produktů ve formě Shape security v Mountain View v Kalifornii
"Šifrování umožňuje eBay nebo komukoliv, kdo má přístup k dešifrovacímu klíči, rozšifrovat a vidět aktuální heslo. Kontrola hesel pomocí hašování by eBay dovolila zkontrolovat, zda je heslo, které zadáte, správné nebo ne, ale neumožňuje zobrazit holý text vašeho aktuálního hesla," vysvětit Coates.
Nejdříve zaměstnanci, pak databáze
Kybernetický útok se odehrál prostřednictvím získaných zaměstnaneckých účtů, přes něž se hackeři dostali k celé síti, uvedla firma. Nejsou žádné informace, že by se útočníci dostali k odděleným osobním informacím internetového platebního servisu PayPal, který eBay vlastní. Tam jsou údaje vedeny v oddělené databázi na zabezpečené síti.
Rozsáhlé útoky na elektronická osobní data se v USA množí. Loni v prosinci maloobchodní řetězec Target sdělil, že hackeři ukradli údaje o platebních kartách až 40 milionů jeho zákazníků. V dubnu internetová společnost AOL po kybernetickém útoku vyzvala desítky milionů držitelů e-mailových účtů ke změně hesel.
