[vgwort line=“53″ server=“vg05″ openid=“1cd5663039fd48f38017cdc6bfe41279″]
Nachdem sich Unbekannte mit erbeuteten Mitarbeiter-Logins Zugriff auf eBays Kundendaten verschafft haben, stellt sich die Frage, was tun? eBay Empfehlung: Passwort ändern. Aber reicht es aus?
Ich denke nicht.
Neben dem Password gibt es noch eine Sicherheitsabfrage. Darüber hinaus dürften die Täter nun über eine Kombination eBay-Nutzername, Vorname, Nachname, postalische Adresse, E-Mail, Geburtsdatum und verschlüsseltes Password haben. Zwar sollen keine anderen vertraulichen Informationen in der betroffenen Datenbank gespeichert sein, was aber ist mit der Sicherheitsabfrage? Auch ohne das Password reichen diese Informationen aus, um eBay Mitteilungen täuschend echt zu fälschen. Die richtige Kombination aus eBay-Nutzername, Realname und E-Mail-Adresse ist ein erster, guter Hinweis darauf, dass eine E-Mail von eBay stammt. Dies ist nun nicht mehr der Fall. Daher empfehle ich folgende Daten bei eBay zu ändern:
- Kennwort
- Sicherheitsabfrage
- Nutzername
- E-Mail-Adresse
Das Passwort, auch wenn es sehr sicher war, denn über die Sicherheit des verwendeten Hash-Verfahrens ist nichts bekannt. Wird es in Kombination mit der E-Mail Adresse auch in anderen Shops, Foren, Paypal etc. verwenden, sollte es auch dort geändert werden. Grundsätzlich sollte für jede Anmeldung im Internet ein eigenes Kennwort genutzt werden. Hier hilft ein Password-Safe, wie er in Firefox eingebaut ist.
Die Sicherheitsabfrage, weil nicht sicher ist, ob die Antwort verschlüsselt gespeichert wird. Warum sollte die Sicherheitsabfrage in einer anderen Datenbank gespeichert sein? Es gibt ja offensichtlich keine besonders gesicherte Datenbank, die nur Nutzername und Password enthält. Auch im Falle der verschlüsselten Ablage lässt sich die Antwort aufgrund der Frage („Mädchenname der Mutter“, …) sicher häufig mit einem Wörterbuch-Angriff ermitteln.
Die Nutzername, auch wenn er liebgeworden ist, da er von eBay als Anrede in Mails verwendet wird.
Die E-Mail-Adresse, damit eBay Mails an die alte Adresse eindeutig als gefälscht zu erkennen sind.
Über 145 Millionen Datensätze haben auch ohne die geknackten Passwörter für Adresshändler Wert. Als eBay Kundendaten haben sie eine Qualität, die auf andere Weise nur mit großem Aufwand erreicht werden erzielt. Bin gespannt, ob über meine bei eBay verwendete Adresse demnächst mehr Spam in meinem Postfach landet. Zumindest mein eBay-Kundenname ist jetzt wertlos.
PS: Ich nutze eBay schon seit Jahren nicht mehr als Verkäufer. Bei der Suche nach neuer eBay Spam ist mir heute aufgefallen, dass meine monatliche eBay-Abrechnung im Spam-Ordner landet. Bis jetzt ist eher das Gegenteil zu beobachten. Alle paar Tage / Wochen eine Spam-Mail. Früher war es anders. 🙁
