Myndigheder vil granske eBay efter læk af 145 millioner brugeres data

Illustration: leowolfert/Bigstock
Gemmer eBay for mange data om brugerne? Det vil blandt andet de britiske datamyndigheder nu undersøge i kølvandet på det store hackerindbrud.

Internetloppemarkedet eBay måtte i sidste uge indrømme, at hackere så ud til at have fået adgang til selskabets kundedatabase med oplysninger om mindst 145 millioner brugere. Det får nu flere landes datatilsyn til at rette søgelyset mod eBay, skriver BBC.

Både i USA og Storbritannien vil myndighederne undersøge, hvilken skyld eBay har i lækagen. Blandt andet vil de britiske myndigheder se på, om eBay har lagret for mange detaljer om brugerne.

Databasen, som hackerne fik adgang til, indeholdt brugernavne, adresser, telefonnumre og fødselsdatoer på brugerne. Derudover lå der også brugernes adgangskoder, som dog var krypteret ifølge eBay.

Alligevel har sikkerhedseksperter udtrykt bekymring om risikoen for identitetstyveri rettet mod eBay-kunderne i de lande, hvor ovenstående oplysninger kan være tilstrækkelig information, hvis der ikke kræves noget svarende til et dansk cpr-nummer.

Tyveriet af de mange brugeroplysninger kommer netop som debatten om beskyttelse af borgernes persondata trækker overskrifter især i Europa, og i Danmark senest efter sagen om ugebladet Se og Hør, som betalte for oplysninger fra Nets' kreditkortdatabase hos IBM.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Nicolai Hansen

Det sidste halve år har der været utallige datalæk og ved HVERT ENESTE er det blevet pointeret at hvis "brugernes adgangskoder er krypteret", så er det en KATASTROFE!

Men alligevel fortsætter I med at få det til at lyde som en god ting at koderne ligger gemt krypteret...

  • 0
  • 0
#2 Morten Jensen

Det sidste halve år har der været utallige datalæk og ved HVERT ENESTE er det blevet pointeret at hvis "brugernes adgangskoder er krypteret", så er det en KATASTROFE!

Men alligevel fortsætter I med at få det til at lyde som en god ting at koderne ligger gemt krypteret...

Det lyder som om du er oprigtigt i tvivl, så jeg giver dig et helt nøgternt og faktuelt svar. Det er en katastrofe hvis dataene ligger ukrypteret (eller kun svagt krypteret), og i dette tilfælde fremgår det af artiklen at dataene var krypteret.

Katastrofen ligger i størrelsen af databasen med de krypterede passwords. Selvom data er krypteret, er der givetvis masser af svage passwords som nemt kan indhentes ved bruteforce angreb. Mange folk identificerer mange konti med samme brugernavn/email og password. Ud af de 145mio konti, vil man kunne gætte passwordet af måske op til nogle procent for relativt lidt regnekraft (dvs. billige penge i form af leje af kraftige cloud-servere til at foretage udregningerne).

Derfor er det altid en uheldig situation af varierende alvorlighed når en password-database kompromiteres.

  • 0
  • 1
#3 Nicolai Hansen

Jeg er på ingen måde i tvivl :)

Hvis du kryptere noget, så gør du det fordi du vil have adgang til det oprindelige indhold igen: E(key,data) = ciphertext D(key,ciphertext) = data

Har du ikke brug for denne egenskab skal du ikke kryptere dit data. Der er ingen grund til at en tjeneste som eBay skal have adgang til dit klartekst kodeord. De skal kunne verificere dig, hvilket kan gøres uden kendskab til dit klartekst kodeord (fx via en langsom+hukommelsestung hash funktion).

Det er ufatteligt træls at se på den ene "+10M bruger"-virksomhed efter den anden, blive hacket og så finde ud af at kodeord var gemt i klartekst (eller hashet én gang med MD5, krypteret med DES, etc).

De der hackede eBay havde medarbejder-adgang over en længere periode. Det sværeste er at skaffe sig adgang, når man har adgang er det typisk en smal sag at skaffe sig mere adgang (se bare Snowden). Hvis eBay ikke har lagt mærke til at medarbejder konti er blevet misbrugt over en længere periode til at kopier en gigantisk database ud af deres netværk, og de ikke har været forebyggende ved at sørger for at brugerkodeord var hashet forsvareligt, så skal man næppe satse for meget på at de har passet godt på deres (de-)krypteringskode.

Derfor er det altid en uheldig situation især når en "krypteret" password-database kompromiteres.

En sidste bemærkning er at Skyen er hurtig/god/billig til mange ting, men lige netop "kodeord cracking" er det en meget dyr fornøjelse og kan ikke anbefales.

  • 0
  • 0
Log ind eller Opret konto for at kommentere