Ebay ruft nach Hackerangriff Nutzer zur Passwortänderung auf

Durch gestohlene Mitarbeiter-Log-ins haben sich Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft. Der Vorfall ereignete sich bereits Ende Februar. Ebay hat davon erst vor zwei Wochen erfahren. Bank- oder Kreditkartendaten sind nicht betroffen.

Firmenschild vor Ebays Zentrale in San Jose (Bild: Ebay)Das Online-Aktionshaus Ebay ruft nach einem Hackerangriff, der sich bereits Ende Februar ereignet hat, alle Nutzer zur Änderung ihrer Passwörter auf. Durch gestohlene Mitarbeiter-Log-ins haben sich die Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft, die neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummer und Geburtsdatum gespeichert waren.

Ebay betont, dass es bisher keinen Anstieg von betrügerischen Aktivitäten auf seiner Handelsplattform registriert habe. Auch seien keine Bank- oder Kreditkartendaten gestohlen worden. Diese werden in einer anderen Datenbank gespeichert. Von dem Angriff sind Zugangsdaten seiner Bezahldiensts Paypal nicht betroffen. Diese werden in einem anderen Netzwerk gespeichert. Trotzdem rät Ebay auch Paypal-Anwendern ihre Passwörter zu ändern. Kunden, die das Ebay-Passwort auch für andere Dienste nutzen, sollten bei diesen ebenfalls ihre Zugangsdaten ändern und in Zukunft vermeiden, identische Passwörter für andere Dienste zu verwenden.

Warum Ebay seine 128 145 Millionen Nutzer erst so spät über den Angriff informiert hat, geht aus dem Firmen-Blogeintrag hervor. Das Unternehmen hat angeblich erst Anfang Mai von dem Diebstahl der Mitarbeiter-Log-ins erfahren und anschließend den Vorfall näher untersucht und erst jetzt herausgefunden, welche Datenbank die Hacker im Visier hatten. Ebay-Nutzer würden auch per E-Mail über den Vorfall informiert, teilte das Unternehmen mit.

Angriffe auf Internetdienstleister sind leider keine Seltenheit. Anfang April meldete das Bundesamt für Sicherheit in der Informationstechnik zum wiederholten Mal, dass Kriminelle fast 20 Millionen E-Mail-Konten erbeutet haben, um mithilfe eines Botnetzes sich in E-Mail-Accounts einzuloggen und diese für den Versand von Spam-Mails zu missbrauchen.

Identitätsdiebstahl ist dem Bundesamt zufolge eines der größten Risiken bei der Internetnutzung. Meist schleusen die Angreifer eine Schadsoftware auf dem Rechner ihres Opfers ein, die etwa Tastatureingaben und Anmeldevorgänge protokolliert oder Transaktionen direkt manipuliert. Die aufgezeichneten Daten werden dann vom Nutzer unbemerkt an von den Angreifern präparierte Rechner gesendet (“Dropzones”) und anschließend von dort heruntergeladen.

Auf dem Schwarzmarkt bringen heute Zugangsdaten zu Mailkonten oder Social Media höhere Beträge als Kreditkartendaten samt PIN, wie vergangenen Monat in einem Bericht der RAND Corporation zu lesen war: Bis zu zehn weitere Zugänge eröffnen sich mit einem Log-in-Datendiebstahl. Die Daten können auch für gezieltes Phishing (Spearphishing) bei Verwandten, Freunden oder Kollegen des Opfers eingesetzt werden. Und weil das Opfer einen Missbrauch nicht sogleich bemerkt, bleiben die Daten länger nutzbar.

Update 22.5. 17:19: Sicherheitsspezialist Avast sieht zwischen dem jetzt bekannt gewordenen Angriff auf Ebay und dem Heartbleed-Bug Parallelen und fordert von den Anwendern mehr Initiative. Avast-COO Ondrej Vlcek sagt: „Der Ebay-Hack stellt das gleiche Passwort-Problem dar wie Heartbleed. Es ist wirklich wichtig, dass Nutzer solche Vorfälle ernst nehmen. In einer Studie zu Heartbleed haben wir herausgefunden, dass zwar neun von zehn Nutzer ihre Passwörter ändern wollten, sobald sie von Heartbleed erfahren haben. Letztendlich haben dies aber nur 40 Prozent in die Tat umgesetzt. Diese gleichgültige Einstellung ist ziemlich verantwortungslos – Verbraucher müssen selbst aktiv werden, um sich zu schützen. Grundsätzlich sollten Nutzer ihre Passwörter alle drei bis sechs Monate ändern. Es ist ratsam, komplexe Passwörter mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu erstellen. Außerdem sollten Ebay-Kunden und andere Nutzer für jedes Online-Konto ein individuelles Passwort auswählen. In der aktuellen Situation wäre es wirklich ungünstig, für Paypal die gleichen Zugangsdaten zu haben wie für Ebay.“

[Mit Material von Don Reisinger, CNET.com]

Themenseiten: Datendiebstahl, Ebay, Hacker, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

21 Kommentare zu Ebay ruft nach Hackerangriff Nutzer zur Passwortänderung auf

Kommentar hinzufügen
  • Am 22. Mai 2014 um 4:04 von Maik

    Wann begreifen endlich auch Dienstleister, das sie eine Verantwortung haben und etwas mehr für Sicherheit tun müssen. Ich kann doch nicht ständig meine Passwörter ändern, nur weil wieder Einer ein Sicherheitsloch, welche diese Dienstleister zulassen, mit einem Grinsen benutzt und wir bekommen das Risiko zugeschoben.

    • Am 22. Mai 2014 um 8:46 von Maddin

      Schon einmal gedacht, dass es niemals ein 100%ig sicheres System gibt, so lange es an das Internet angeschlossen ist?

      Es ist Irrglaube zu denken, dass ein System mit bewusst entwickelten Lücken ausgeliefert wird. Da kann eine SSL-Verschlüsselung auch mit 512 Bit verschlüsselt, eine Datenbank hochkomplex gesichert sein – jede Sicherungsmethode kann geknackt werden, alles eine Sache des Rechenaufwands.

      Im übrigen werden Sicherheitslücken nicht „zugelassen“, sondern von Hackern entwickelt, indem System-interne Sicherheitsmaßnahmen umgangen werden.

    • Am 22. Mai 2014 um 9:36 von Traurig, nervig

      Finde ich auch ärgerlich. Insbesondere, weil keiner sich zwanzig ’sichere‘ Passworte merken kann – und die dann immer wieder mal ändert.

      Und Passwort Safe? Na ja: dann vertraut man einem Unternehmen, dass dieses die Passworte sicher verwahren kann. Ist die SW buggy oder wird das Programm (Cloud-basiert?) gehackt, muss man 20 Passworte wechseln – wenn man es denn je erfährt.

      Fürchte, das wird ein Dauerbrenner.

      • Am 22. Mai 2014 um 21:07 von Hans Gluck

        Sie nennen die Lösung: Passwortsafe. Die gibt es sowohl Cloudbasiert als auch offline. Das ist also kein Grund sie nicht zu nutzen. Um selbst damit noch etwas mehr Sicherheit zu haben, haben Sie Möglichkeit Ihre dort gespeicherten Passwörter noch einmal zu salten.
        Das bedeutet, dass Sie an jedes Passwort einfach noch einmal eine Anzahl an Zeichen hinzufügen (immer die gleiche), die Sie sich merken und nicht notieren.
        Zum Beispiel merken Sie sich Ihren persönlichen Salt ukw990: Aus Ihrem gespeicherten Passwort 3r+t9g?fl#d+wfkk433b wird dann 3r+t9g?fl#d+wfkk433bukw990. So kann ein Hacker mit Ihren Daten auch dann nichts anfangen wenn er sie irgendwo erbeutet weil er Ihren Salt nicht kennt.

        • Am 23. Mai 2014 um 4:25 von Danke

          Guter Tipp, aber ich traue Passwort-‚Managern‘ nicht über den Weg. Wird der gehackt, sind alle Passworte bekannt.

          Und Sie können sich das merken?

          3r+t9g?fl#d+wfkk433. ??? ;-)

    • Am 23. Mai 2014 um 0:00 von pat webstrt

      Das man vom Saftladen selbst weder auf deren Homepage noch per eMail informiert wird ist äußerst schwach. Naja eBay ist auch nicht meht was es eins war.

  • Am 22. Mai 2014 um 9:32 von Und ...

    … Wie auffällig: JI schweigt. ;-) Klar, hat ja keinen Bezug zum A-Wort, gibt nix für.

    Anaonaten fürchte ich, dass das Thema Passwort Wechsel zum Dauerbrenner wird. Ist leider so: Password Datenbanken haben für Kriminelle denselben Stellenwert, wie Fort Knox – sind aber schlechter gesichert.

    Wird Zeit, dass ein besseres System eingeführt wird: z.B. bei jeder Anmeldung Bestätigung via SMS oder anderem sicheren Token. Da wäre die Hürde zumindest höher, und Gelegenheitshacker hätten geringere Chancen auf Beute.

  • Am 22. Mai 2014 um 11:23 von Future

    Ist ja interessant. Ende Februar sind Mitarbeiter-Log-ins gestohlen worden, aber erst Ende Mai hat Ebay davon erfahren … *grübel* Und woher wissen die dann, dass die Log-ins Ende Februar gestohlen wurden?
    Aber hey, wieso machen wir uns denn Sorgen? Es sind doch ’nur‘ Benutzername, Kennwörter, E-Mail- und Postadressen sowie Telefonnummer und Geburtsdatum geklaut worden. Hallo?? Geht’s noch??

    Diese nervtötende Passwortänderei, zu der die Kunden in den letzten Monaten von immer mehr Shops und Plattformen aufgefordert werden, die hat doch sowieso keinen Sinn, wenn angeblich sehr sichere Passwörter von Hackern dadurch geknackt werden können, indem sie sich einfach in die passende Datenbank bei den Unternehmen hacken. Was nützt es denn nach einem Hack noch, wenn ich mein Passwort ändere, es sei denn, ich habe es für mehr als einen Account genutzt? Erstens sind die Daten doch eh schon geklaut worden und zweitens wird die dafür zuständige Datenbank bestimmt wieder einem Hack ausgesetzt sein, wenn nicht heute oder morgen, dann eben übermorgen.

    Mein Fazit der letzten Monate ist, dass ich als Kunde den geringsten Einfluss auf die Sicherheit eines bestimmten Accounts habe, egal wie supertoll mein Passwort ist, wenn nicht das Unternehmen diese Daten zu schützen weiß und ja, da müssen dann halt Unternehmen mal ein wenig mehr tun und den Hackern voraus sein.
    Es wird sich erst dann etwas ändern oder ggf. verbessern, wenn die Kunden diesen Unternehmen reihenweise davonlaufen und sie meiden, weil die Kundendaten in deren Datenbanken nicht sicher sind. Was glaubt ihr, wie schnell ein Unternehmen handeln und seine Datenbanken zu Fort Knox umfunktionieren würde, wenn ihm nur noch eine Handvoll Kunden geblieben ist … Willkommen im Internet der Zukunft!

  • Am 22. Mai 2014 um 13:20 von Silvia

    Ist ja toll, das wir jetzt unsere Passwörter ändern sollen. Ich versuche das bereits seit gestern nachmittag und bekomme weder per E-Mail noch per SMS Anwort von Ebay mit dem Link zur Passwortänderung. Ein Anruf bei Ebay brachte mich auch nicht weiter. Die lapidare Antwort der Dame: Die Server sind total überlastet, da Millionen Menschen jetzt ihre Passwörter ändern wollen, aber ich solle mir keine Sorgen machen, es kann nichts passieren und die benötigten EMails werden mir schon noch zugeschickt. Na vielen Dank auch!!

    • Am 23. Mai 2014 um 15:22 von Ewald

      So ging es mir auch.Habe mein Passwort vor 24 Stunden geändert und komm immer noch nicht auf mein Konto

  • Am 22. Mai 2014 um 15:50 von HP

    Die geklauten Daten werden sehr wohl benutzt: siehe Email (ein Anhang für Kreditkartenüberprüfung war mit dabei)
    Käuferschutz

    Sehr geehrte/r Hxxxx PXXXX ,

    zur Sicherheit unserer Nutzer, insbesonders Ihres Nutzerkontos, ist es (aus Gründen des Käuferschutzes) erforderlich, dass wir Sie einer kurzen Legitimationsprüfung unterziehen.

    Da es in der Vergangenheit vermehrt zu Missbrauchsfällen mit eBay-Nutzerkonten gab, möchten wir Sie darum bitten Ihre Nutzerdaten über das angehängte Formular im Anhang zu validieren.

    Die Validierung erfolgt vollautomatisch und dauert nur wenige Minuten.

    WICHTIG: Sollten Sie die Legitimationsprüfung innerhalb der nächsten 5 Tagen nicht durchführen, so wird Ihr eBay-Nutzerkonto dauerhaft gesperrt. Diese Sperre kann nicht aufgehoben werden!

    Ihre Aktuelle Anschrift lautet :

    mein Name
    meine Adresse
    65205 Wiesbaden

    Mit freundlichen Grüßen,
    eBay Kundenservice
    Abt. Kontosicherheit

    • Am 22. Mai 2014 um 23:23 von HALLOOO

      NEIN DIESE EMAIL MIT DEM ANHANG IST EINE FAKE EMAIL,
      VALIDIER MAL SCHÖN, GENAU DANN HABEN DIE DEINE DATEN.

    • Am 23. Mai 2014 um 4:15 von punisher

      Ich hoffe für dich, das du keinen link in der Mail angeklickt hast…

    • Am 24. Mai 2014 um 8:13 von HP

      „Validierung“ sollte an: http://www.www.check-protection.info/DE/ebay/konto gehen. Die haben sich extra eine Domain besorgt….

  • Am 23. Mai 2014 um 0:01 von Anton

    Naja, wer’s glaubt, kleiner Denkanstoß: Der eBay Umsatz hat sich bei uns seit gestern Abend verdreifacht. So einfach kann man auf sich aufmerksam machen, ob positive oder negative Nachricht spielt dabei keine Rolle, der Rubel rollt. Ebay kassiert natürlich mit an den Verkaufsprovisionen und Bannereinnahmen.

    • Am 23. Mai 2014 um 15:11 von punisher

      Wo ist „bei uns“ und noch viel wichtiger, woher stammen deine Infos zum dreifachen Umsatz?

  • Am 24. Mai 2014 um 10:31 von michael

    bei den verkaufsgebühren von mittlerweile 10% sollte man doch erwarten können das so was nicht passiert. geldmangel sollte eigentlich kein grund sein ihr system nicht so sicher zu machen, das so ein hack nicht passieren kann. auch die langsame reaktion von ebay ist mir suspekt. vor 2 tagen schon stand es in der zeitung und heute erst eine email bekommen ich soll mein passwort ändern.
    ich finde diese zustände absolut unhaltbar.

  • Am 24. Mai 2014 um 14:11 von Judas Ischias

    Und wenn Ebay 100% Verkaufsgebühren nehmen würde, wäre auch das keine Garantie, dass die Konten nicht zu hacken wären. Die Experten dieser „Berufstätigen“ sind schon längst dabei die nächste Sicherheitsstufe zu knacken.;)
    @Und…jetzt zufrieden?

  • Am 25. Mai 2014 um 18:41 von Andrzej Kozlowski

    Warum bewahrst du deine „20 Passwörter“ nicht auf 20 Karteikärtchen in einem schmucken Holzkästchen am Computer positioniert auf? Die alphabetische Reihenfolge der Anordnung würde einen schnellen Zugang erleichtern.

  • Am 26. Mai 2014 um 21:04 von verärgert

    Ich überlege mir in zukunft den Aufwand der ständigen Passwortänderei nach Sicherheitslücken den gehackten Unternehmen in Rechnung zu stellen.
    Man muss ja alle passwoerter nicht nur für sich sondern auch viele andere wie Mutter oder Frau zusätzlich ändern….

    Das Problem ist die große Ahnungslosigkeit der überwältigenden Mehrheit der Computernutzer.
    Da wird niemals ausreichend Druck zu stande kommen dass die Firmen sich zu höheren Sicherheitstandards verpflichten.

  • Am 27. Mai 2014 um 14:29 von Hannelore Vetter

    Es gibt für nichts eine 100% Sicherheit. Auch Ebay kann nicht dafür garantieren das kein Missbrauch mit den Kundendaten geschieht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *