eBayが水曜日、サイバー攻撃の被害を受けたことを認めたとき、同社は1億4500万人のアクティブユーザー全員に質問した。パスワードを変更するには。しかし、侵入者は、名前、住所、生年月日などの他の個人情報も含まれる顧客データベースにアクセスできました。これらのデータは簡単には変更できません。
良いニュースは、eBay は言う財務情報やクレジット カード情報が侵害されていないことを確認しました。財務データは別のシステムに保存されており、eBayはPayPalのデータが侵害されたという証拠はないとしている。悪いニュースは、侵害されたデータが依然として重要だったということです。
関連項目:
EBayの代表者らはMashableに対し、同社は1億4,500万のアクティブアカウントのうちどれだけが侵入者に閲覧されたのか全く把握していないと語った。さらに数百万の非アクティブなアカウントも影響を受ける可能性があります。
同社は、攻撃は2月下旬から3月にかけて発生し、ハッカーは以下の情報にアクセスできたと述べた。
顧客名暗号化パスワードメールアドレス住所電話番号生年月日
それはたくさんの重要な情報です。実際、攻撃としては、ワイヤード記者マット・ホーナン電話番号、電子メール、住所などのほんの少しの個人情報に古き良きソーシャル エンジニアリングと組み合わせてアクセスすると、膨大な損害を引き起こす可能性があることが実証されています。
パスワード リセットに関する質問の多くには、誕生日、電話番号、住所が含まれます。少なくとも、この種のデータにより、犯罪者はセキュリティ設定を回避することが容易になります。また、個人情報盗難計画を支援するために使用される可能性もあります。
研究者のアシュカン・ソルタニ氏が指摘しているように、すでに少なくとも一人がそう主張している。疑惑のユーザーデータベースを販売する。問題の人物は、推定される 1 億 4,531 万 2,663 件の一意のレコードへのアクセスと引き換えに、1.453 BTC (約 753 ドル) を要求しています。しかし、eBay の返答によれば、それは偽物のようです。
@ashk4nこれまでに確認した公開リストは本物の eBay アカウントではありません。私たちはユーザーに対し、eBay にアクセスしてパスワードを変更することを引き続き推奨しています。 — eBay Inc. (@ebayinc)2014 年 5 月 22 日
それでも、盗まれた情報の少なくとも一部は、個人データの交換を扱うさまざまな地下市場に流出する可能性が高いと思われます。
メールや電話による詐欺にご注意ください
安全保障記者ブライアン・クレブスこのリストにある電子メール アドレスにはさらに多くのスパムが送信される可能性が非常に高いと述べています。同氏は、スパムには「ログイン情報の窃盗やマルウェアの拡散を目的としたフィッシング攻撃が含まれる可能性が高い」と述べている。
クレブス氏は、この種のデータベースは「電話ベースの詐欺師にとっての宝の山」になると考えている。
クレブス氏は、「人々に関するほんの少しの情報を武器に、詐欺師は人々を騙してより多くの個人データや財務データを提供させようとする計画の成功率を劇的に向上させることがよくあります。」と付け加えました。
すべてのデータが暗号化されているわけではありません
私にとって、この攻撃で最も懸念された点は、eBay がデータベース内で暗号化した唯一の情報がユーザーのパスワードだったということでした。使用される暗号化スキームの種類に応じて、攻撃者にとってこれらのパスワードの解読は非常に困難な場合もあれば、非常に簡単な場合もあります。それでも、少なくともパスワードには何らかの暗号化が施されていました。
名前、電話番号、生年月日、電子メール アドレス、自宅の住所が暗号化されていないだけでなく、平文で保存されていたことは衝撃的です。このデータはオプションではないことに注意してください。 eBay アカウントにサインアップするには、ユーザーは名前、住所、電話番号を入力する必要があります。 eBay で何かを販売したい場合は、18 歳以上であることを示す生年月日を入力する必要があります。
そのため、1 億 4,500 万のアクティブな eBay アカウントについて、ユーザーは会社にどのような情報を提供するかを選択することができませんでした。 eBay がそのような機密情報を暗号化しないという選択をしたのは衝撃的です。
データセキュリティ標準の要求?
サイバー攻撃は常に増加しています。ほぼ毎週、新たなデータ侵害やパスワード リセットの機会について耳にします。しかし、パスワードとクレジット カード データは問題の一部にすぎません。
プライバシー擁護派にとって、非常に多くのサービスや企業が非常に多くの個人情報へのアクセスを必要としているという事実は、すでに当惑しています。しかし、プライバシーの問題を脇に置いたとしても、個人情報を安全な方法で保管することを企業に強制し始める時期が来たのでしょうか?
すでにあります業界標準支払い情報をどのように保存し、保護するかについて。おそらく、オンライン サービスに対しても、同様の敬意を持って個人情報を扱うことを要求し始める時期が来ているのかもしれません。
ユーザーは自分のパスワードを変更できます。必要なほど頻繁に変更することはないかもしれませんが、パスワードは変更できます。識別可能な情報の宝庫が利用可能になると、特にその情報がオンライン ID に関連付けられている場合は、ユーザーが制御することはできません。
クレジット カードと銀行は詐欺に対する保護を提供します。これと同じ種類の保護は、個人情報の盗難には利用できません (また、利用できるものは時間と費用がかかります)。
数十億ドル規模の企業が私たちに個人情報を放棄することを要求する場合、私たちは彼らがそれを保護するつもりであることを確認する必要があるのではないでしょうか?