eBay har blitt angrepet – alle passord kan være stjålet

[LMH1]

Tror det er noen som ikke har skjønt at eBay ikke er en norsk side

 

Er faktisk klart over det, men det sier jo ikke noe når siden bruker over hele verden.

Kunne like godt være en gjeng som kaller seg for Anonymous, men hva ville de tjent på det?

 

Uansett blir det å endre passord, som å håpe på det ikke skjer igjen, uten bedre sikring av hvordan dataene håndteres riskerer man bare å måtte endre passord igjen, antakelig burde ebay få satt sikkerheten opp etter dette. Kanskje bruke bankID eller kode på SMS?

Forstår virkelig ikke hvorfor ebay sine personer skulle ha tilgang til passordet til brukerne? Fordi man kan jo bare bruke glemt passord, for å endre det. Dermed kan alle passordene lagres seperat. Uten enkel tildeling til brukerne.

[Sokkalf™]

 

Jeg håper det er en skrivefeil at de har "krypterte passord". Hvis et selskap som ebay ikke bruker skikkelig hashing og salting av passord, så blir jeg igrunnen ganske skuffa over tingenes tilstand.

Massemedia vil normalt kalle kryptografisk hashing for kryptering, av den enkle grunn at de fleste leserne ikke vet hva hashing er. I mange tilfeller vet heller ikke journalistene det.

 

 

Greit om det var VG. Ikke greit på hw.no.

[Horrorbyte]

Hardware.no skriver nok om nyheter skrevet av VG/BBC/CNN. BBC skriver følgende

 

 

 

EBay has not provided any information about the kind of encryption it used.

[myhken]

 

Tror det er noen som ikke har skjønt at eBay ikke er en norsk side

 

Forstår virkelig ikke hvorfor ebay sine personer skulle ha tilgang til passordet til brukerne? Fordi man kan jo bare bruke glemt passord, for å endre det. Dermed kan alle passordene lagres seperat. Uten enkel tildeling til brukerne.

 

 

Nå er det vel ingen som sier at noen har hatt tilgang på passordene, men databasen inkludert passord som er saltet (altså krypterte) er på avveie. Det betyr at folk kan prøve å bryte krypteringen på lokale pcer, og OM du greier å bryte krypteringen (lite trolig) så sitter de med passordene i klartekst.

Om Ebay hadde lagret passordene i klartekst, da ville vi snakket skandale.

 

Men Ebay gjør som alle andre selskaper i samme situasjon, de ber brukerene bytte passord for å være på den sikre siden.

[MariusJS]

 

Hardware.no skriver nok om nyheter skrevet av VG/BBC/CNN. BBC skriver følgende

 

 

 

EBay has not provided any information about the kind of encryption it used.

 

HW.no skriver for VG

 

 

Tror det er noen som ikke har skjønt at eBay ikke er en norsk side

 

Er faktisk klart over det, men det sier jo ikke noe når siden bruker over hele verden.

Kunne like godt være en gjeng som kaller seg for Anonymous, men hva ville de tjent på det?

 

Uansett blir det å endre passord, som å håpe på det ikke skjer igjen, uten bedre sikring av hvordan dataene håndteres riskerer man bare å måtte endre passord igjen, antakelig burde ebay få satt sikkerheten opp etter dette. Kanskje bruke bankID eller kode på SMS?

Forstår virkelig ikke hvorfor ebay sine personer skulle ha tilgang til passordet til brukerne? Fordi man kan jo bare bruke glemt passord, for å endre det. Dermed kan alle passordene lagres seperat. Uten enkel tildeling til brukerne.

 

Tenkte på siden du nevnte pakistanere og polakker, noe som er lite sannsynlig, tror heller at det er Russland/Kina, eller ett annet asiatisk land...

1: BankID funker ikke på samme måte i alle land...

2: Sms, hvor dyrt vil du ha det? (Hadde antagelig blitt sendt fra utlandet!)

[multiwii]

to-stegs-autentisering er noe dritt spessielt når det er snakk om å sende det via sms. Problemet er nettopp når du ikke har tilgang til mobil, jeg for min del befinner jeg meg ca 4mnd i året på områder uten mobil, det er virkelig på tide å finne opp et nytt passord system som er idiotsikkert. Bankid, minid og hva det måtte være er bare noe jall etter min mening:) håper noen smarte hodet snart kan finne det ultimate systemet som ikke lar seg knekke:) og som er helt unikt som et fingeravtrykk eller dna skulle være.

[SVD]

Norsk tipping har to-stegs autentisering, får ikke logget inn siden de sender sms med link. Funker dårlig å åpne på en gammel Nokia som jeg har det gamle tlf-nr på, ikke går det å sette sim i andre tlf heller:p

[B-QL]

Jeg byttet passord der 4. 10. April, så da angår det ikke meg, eller?

 

 

To protect the security and privacy of our customers, we’re asking all eBay users to reset their passwords on or after 21 May, 2014. If you already reset your password and forgot it, please follow the reset process below.

[tommyb]

1) Så får vi endelig håpe at eBay har sikret passordene skikkelig, med en solid kryptografisk hash-funksjon og individuell salt. 2) Noe annet vil være overraskende, siden de 3) også eier PayPal.

 

Kronologisk rekkefølge:

1) Ebay sikret passordene sine

3) Ebay kjøpte PayPal

2) ... Overraskelse.

 

Jeg skal ikke si at de ikke har gått tilbake til 1 etter 3, men i utgangspunktet har eBay tatt en avgjørelse på hvor listen skal ligge på sikkerhetsnivået allerede før de kjøpte PayPal.

[tommyb]

Jeg håper det er en skrivefeil at de har "krypterte passord". Hvis et selskap som ebay ikke bruker skikkelig hashing og salting av passord, så blir jeg igrunnen ganske skuffa over tingenes tilstand.

 

Det er ikke en skrivefeil, det er markedsføringsspråk. Det er nok en nøye forfattet erklæring, og kun en brøkdel av de berørte forstår hashing og salting.

 

Kilden selv, eBay Inc, sier om seg selv, i "tredjeperson":

 

 

eBay Inc. (Nasdaq: EBAY) said beginning later today it will be asking eBay users to change their passwords because of a cyberattack that compromised a database containing encrypted passwords and other non-financial data.

 

http://www.ebayinc.com/in_the_news/story/ebay-inc-ask-ebay-users-change-passwords

Endret 23. mai 2014 av tommyb