eBay gehacked - Benutzerdaten gestohlen

Re: eBay gehacked - Benutzerdaten gestohlen

*dEmA* — Sat, 07 Jun 2014 13:49:09 GMT

Nichts ist sicher im WWW
Aber das wissen wir ja eh schon...

Re(3): eBay gehacked - Benutzerdaten gestohlen

zeddicus — Tue, 03 Jun 2014 06:25:42 GMT

Deshalb gibt unsere Pressesprecherin oft auch recht kreative Antworten,
schlicht weil sie es selbst nicht weiss

Technologiekonzern in blau?

Re(4): eBay gehacked - Benutzerdaten gestohlen

Bucho — Mon, 02 Jun 2014 21:39:44 GMT

Ich glaube es kommt der Punkt dass man mal über eine Internationale "Internet-Polizei" nachdenken sollte. Onlineservices sind nicht mehr eine Sache von Insidern denen man zumuten kann auf sowas nicht reinzufallen. Schutz gibts für den "Nur-Anwender-Seinwollende" aber nicht wirklich.

Re(3): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Mon, 02 Jun 2014 21:14:43 GMT

Da werden wohl viele reinfallen.

Schaut so aus

Die HTML-Datei im Anhang enthält ein Formular, das die eingegebenen Daten an folgende Adresse sendet:

http://www.check-protection.info/DE/ebay/konto/index.php

Zumindest Firefox erkennt das als Phishing-URL.

Re(2): eBay gehacked - Benutzerdaten gestohlen

Bucho — Mon, 02 Jun 2014 21:07:54 GMT

Da werden wohl viele reinfallen.

Re: eBay gehacked - Benutzerdaten gestohlen

hellbringer — Mon, 02 Jun 2014 21:06:09 GMT

Heute eine Mail bekommen:

Käuferschutz

Sehr geehrte/r ***** ***** ,

zur Sicherheit unserer Nutzer, insbesonders Ihres Nutzerkontos, ist es (aus Gründen des Käuferschutzes) erforderlich, dass wir Sie einer kurzen Legitimationsprüfung unterziehen.

Da es in der Vergangenheit vermehrt zu Missbrauchsfällen mit eBay-Nutzerkonten gab, möchten wir Sie darum bitten Ihre Nutzerdaten über das angehängte Formular im Anhang zu validieren.

Die Validierung erfolgt vollautomatisch und dauert nur wenige Minuten.

WICHTIG: Sollten Sie die Legitimationsprüfung innerhalb der nächsten 5 Tagen nicht durchführen, so wird Ihr eBay-Nutzerkonto vorrübergehend eingeschränkt !

Ihre Hinterlegte Anschrift bei eBay !

***** *****
********** ****
**** Wien

Mit freundlichen Grüßen,
eBay Kundenservice
Abt. Kontosicherheit

Klicken Sie auf die im E-Mail-Anhang angehängte Datei und klicken dann auf "Öffnen mit".

Tragen Sie Ihre Daten vollständig wie angegeben ein.

Sobald Ihre Daten Positiv überprüft worden sind, werden Sie zu unserer Startseite weitergeleitet.

Die Mail enthielt meinen korrekten Namen und Adresse.

Re(6): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Sat, 24 May 2014 23:37:19 GMT

Naja, wer MD5 verwendet, der hat wohl noch viel gröbere Probleme, da derjenige es mit der Sicherheit nicht besonders ernst nimmt.

Aber davon abgesehen heißt ein Knacken des Hashes ja noch lange nicht, dass du auch das richtige Passwort hast. Es kann ja ein anderes Passwort sein, das zufällig den richtigen Hash ergibt.

Re(5): eBay gehacked - Benutzerdaten gestohlen

MG — Sat, 24 May 2014 19:59:03 GMT

Nein. Nur mit dem Salt und dem Hash-Wert alleine kann man nix anfangen.

Kommt auf das Hash Verfahren an.

Mit SHA-1,2,3 besteht keine Gefahr.

Bei MD5 verhindert das Salt nur, dass man die Rainbowtables 1:1 anwenden kann. Ändert aber nichts dass MD5 so kollissionsanfällig ist, dass mit einer modernen Grafikkarte der Hash in absolut endlicher Zeit gebrochen.

ACHTUNG: Phising Versuch

eanths — Sat, 24 May 2014 10:14:38 GMT

Heute per Mail gekommen, war ja klar dass die Betrüger auf den Zug aufspringen

kam von service@paypal.de, wurde aber von Gmail als Spam erkannt.

Re(2): PW geändert ... eigenartig

Bucho — Sat, 24 May 2014 09:00:26 GMT

Dachte ich auch, aber dazu musst du erst unter mein eBay die aktiven Session-Verknüpfungen löschen. Solange die Session aktiv ist, bleibt die Applikation nämlich eingeloggt und muss sich nicht neu authentifizieren.

Re: PW geändert ... eigenartig

quintus — Sat, 24 May 2014 04:37:04 GMT

Ich habe vor 3 Tagen (am PC) mein Ebay-PW geändert und dementsprechend auch die Bestätigungsmail bekommen. Heute blättere ich zufällig am Smartphone(!) auf die Ebay-Seite, kann dort 'Mein Ebay' aufrufen, Nachrichten lesen ... also eigentlich hätte ich erwartet, dass ich am Smartphone zur Eingabe des (neuen) Passwortes aufgefordert werde.

???

Thx

Re(4): eBay gehacked - Benutzerdaten gestohlen

leave_my_name_out — Thu, 22 May 2014 10:51:13 GMT

ja eh, war im grunde zu erwarten... im 4ten anlauf ging es dann

Re(3): eBay gehacked - Benutzerdaten gestohlen

Bucho — Thu, 22 May 2014 10:20:56 GMT

EBay nach Hackerproblem überlastet

Nach dem Aufruf des Internetauktionshauses eBay an seine User, aus „Sicherheitsgründen“ Passwörter umzustellen, leidet die Website des Unternehmens unter gravierender Überlastung. Gestern hatte eBay zugegeben, Opfer einer Hackerattacke geworden zu sein, bei der Angreifer in die Kundendatenbank eingedrungen seien.

Wie viele Kunden genau betroffen sind, wurde nicht gesagt, es könne aber laut Angaben des US-Unternehmens „eine große Zahl“ sein, weshalb alle Nutzer ihre Passwörter ändern sollten. EBay hat rund 145 Millionen aktive Nutzer. Damit könnte der Cyberangriff einer der größten auf ein Unternehmen in der Geschichte sein.

Re: eBay gehacked - Benutzerdaten gestohlen

ducduc — Thu, 22 May 2014 08:43:06 GMT

danke gleich gelöscht, brauch ich eh nimmer

Re(2): eBay gehacked - Benutzerdaten gestohlen

Bucho — Thu, 22 May 2014 07:40:47 GMT

Das glaube ich, der ebenso in einem riesen Unternehmen arbeitet, allerdings widerum schon. Bis sowas entdeckt und durch die Abteilungen eskaliert und abgeklärt ist, kann es bei schwerwiegenden Problemen Monate dauern bis es zur Pressestelle durchdringt. Deshalb gibt unsere Pressesprecherin oft auch recht kreative Antworten, schlicht weil sie es selbst nicht weiss wenn sie ein Reporter überrumpelt.

Re: eBay gehacked - Benutzerdaten gestohlen

RuVy — Thu, 22 May 2014 07:30:07 GMT

viel tragischer finde ich da immer wieder folgende Meldung:

Zitat aus dem verlinkten Artikel: Ebay hat am Mittwochnachmittag darüber informiert, dass seine Datenbank gehackt und dabei Kundendaten gestohlen wurden. Der Hack soll Ende Februar bis Anfang März vorgefallen sein.

Was ist von Anfang März bis Mitte Mai passiert? Des glaub ich fast nicht das so ein "Riese" mit einem Milionen IT Budget erst "vor zwei Wochen" davon erfahren hat...

Re(2): eBay gehacked - Benutzerdaten gestohlen

leave_my_name_out — Thu, 22 May 2014 06:12:44 GMT

yup, und dann bekommt man auch noch sowas als antwort (wollt gerade wechseln)

Seite nicht verfügbar

Wegen eines nicht autorisierten Zugriffs auf unser Informationsnetzwerk bitten wir alle eBay-Nutzer, ihr Passwort zurückzusetzen. Der dadurch entstehende hohe Traffic kann zu Service-Verzögerungen führen. Bitte haben Sie etwas Geduld und versuchen Sie es bald noch einmal.

edith: aha, nach der "nicht verfügbar" kommt dann doch noch eine email mit rücksetz-link

Re(2): eBay gehacked - Benutzerdaten gestohlen

leave_my_name_out — Thu, 22 May 2014 06:12:44 GMT

yup, und dann bekommt man auch noch sowas als antwort (wollt gerade wechseln)

Seite nicht verfügbar

Wegen eines nicht autorisierten Zugriffs auf unser Informationsnetzwerk bitten wir alle eBay-Nutzer, ihr Passwort zurückzusetzen. Der dadurch entstehende hohe Traffic kann zu Service-Verzögerungen führen. Bitte haben Sie etwas Geduld und versuchen Sie es bald noch einmal.

Re(2): eBay gehacked - Benutzerdaten gestohlen

leave_my_name_out — Thu, 22 May 2014 06:12:44 GMT

yup, und dann bekommt man auch noch sowas als antwort (wollt gerade wechseln)

Seite nicht verfügbar

Wegen eines nicht autorisierten Zugriffs auf unser Informationsnetzwerk bitten wir alle eBay-Nutzer, ihr Passwort zurückzusetzen. Der dadurch entstehende hohe Traffic kann zu Service-Verzögerungen führen. Bitte haben Sie etwas Geduld und versuchen Sie es bald noch einmal.

edith: aha, nach der "nicht verfügbar" kommt dann doch noch eine email mit rücksetz-link

edith2: und der link führt dann wieder zu einem "seite nicht verfügbar"

Re(8): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Wed, 21 May 2014 21:49:37 GMT

also, eine sekunde für einen hash? das schaffst nur mit mit rechnern ohne
mathematischen co-prozessor ( also 386-sx oder so ) oder verfahren die in
der praxis nicht verwendet werden.

Doch, die Verfahren werden in der Praxis verwendet und ich rede von aktuellen Rechnern.

zu jeder passwort policy kann ich dir schnell die 10 einfachsten passwörter
erstellen die der policy entsprechen. und selbst wenn der salt wechselt, keine
schwere aufgabe.

Na gut, gegen die größte Dummheit hilft die beste Technik nichts. Hast mich überzeugt. Sagen wir halt 99% aller Accounts sind sicher

Re(7): eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 20:22:22 GMT

also, eine sekunde für einen hash? das schaffst nur mit mit rechnern ohne mathematischen co-prozessor ( also 386-sx oder so ) oder verfahren die in der praxis nicht verwendet werden. zu jeder passwort policy kann ich dir schnell die 10 einfachsten passwörter erstellen die der policy entsprechen. und selbst wenn der salt wechselt, keine schwere aufgabe.

Re(6): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Wed, 21 May 2014 20:14:23 GMT

wenn du 5.000.000 passwörter hashes hast, den salt und das hashverfahren
kennst, und die common 1000 passwörter damit hash"st" und vergleichst, hast du
sicher eine nicht so keine anzahl. vielleicht nicht deines, aber viele andere.

Natürlich hat jedes Passwort einen eigenen Salt. Angenommen man braucht 1 Sekunde Rechenzeit um ein Passwort zu hashen, hast du bei 5.000.000 Accounts und 1000 Versuchen pro Account 5.000.000.000 Sekunden Rechenzeit, oder auch 159 Jahre Rechenzeit.

Außerdem sollten die Richtlinien einem Benutzer verbieten die 1000 häufigsten Passwörter zu verwenden. Dann wirds schon wieder schwieriger.

Re(5): eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 19:56:15 GMT

wenn du 5.000.000 passwörter hashes hast, den salt und das hashverfahren kennst, und die common 1000 passwörter damit hash"st" und vergleichst, hast du sicher eine nicht so keine anzahl. vielleicht nicht deines, aber viele andere.

Re(5): eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 19:56:15 GMT

wenn du 5.000.000 passwörter hast, den salt und das hashverfahren kennst, und die common 1000 passwörter damit hash"st" und vergleichst, hast du sicher eine nicht so keine anzahl. vielleicht nicht deines, aber viele andere.

Re(4): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Wed, 21 May 2014 19:49:42 GMT

naja, vermutlcih kein salt bzw. einer der geleakt wurde und dann kannst du
noch so teure hashes haben. die standard passwörter haben die angreifer.

Nein. Nur mit dem Salt und dem Hash-Wert alleine kann man nix anfangen.

Wenn du mir nicht glaubst, dann geb ich dir einen Hash-Wert und den passenden Salt dazu, und du sagst mir, welches Passwort dazu gehört.

Re(4): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Wed, 21 May 2014 19:49:42 GMT

naja, vermutlcih kein salt bzw. einer der geleakt wurde und dann kannst du
noch so teure hashes haben. die standard passwörter haben die angreifer.

Nein. Nur mit dem Salt und dem Hash-Wert alleine kann man nix anfangen.

Re: eBay gehacked - Benutzerdaten gestohlen

user96106 — Wed, 21 May 2014 19:20:12 GMT

ah danke. ich wusste ich hatte noch irgendwo einen account. seit jahren nimmer gebraucht. somit dann auch gleich still gelegt.

Re: eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 19:06:03 GMT

warum sie den pw wechsel nicht beim nächsten login forcen ist mir ein rätsel.

Re: eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 19:06:03 GMT

warum sie den pw wechsel nicht beim nächsten login forcen ist mir ein rätsel.
oder einen hinweis mit link auf den wechsel schalten. so muss sich jeder durchs menü durchsuchen.
sehr halbherzig.

Re(3): eBay gehacked - Benutzerdaten gestohlen

*patrick star* — Wed, 21 May 2014 19:05:22 GMT

naja, vermutlcih kein salt bzw. einer der geleakt wurde und dann kannst du noch so teure hashes haben. die standard passwörter haben die angreifer.

Re(2): eBay gehacked - Benutzerdaten gestohlen

hellbringer — Wed, 21 May 2014 15:46:55 GMT

zum Glück verwende ich bei dem Verein ein PW das ich sonst nirgendwo verwende.

Wenn das Passwort ordnungsgemäß als teurer Hash-Wert abgespeichert wird, dann kann der Angreifer so oder so nix damit anfangen. Was für ihn Wert hat sind Adressen, Kreditkartennummern, usw.

Re: eBay gehacked - Benutzerdaten gestohlen

section_control — Wed, 21 May 2014 15:35:01 GMT

zum Glück verwende ich bei dem Verein ein PW das ich sonst nirgendwo verwende.

Re: eBay gehacked - Benutzerdaten gestohlen

Mr L — Wed, 21 May 2014 15:33:16 GMT

danke - done.

Re: eBay gehacked - Benutzerdaten gestohlen

lobbyist — Wed, 21 May 2014 14:26:40 GMT

da ebay meinen account nicht komplett löschen will, werd ich hoffentlich so meinen account los. hopp hopp ...

eBay gehacked - Benutzerdaten gestohlen

Bucho — Wed, 21 May 2014 14:21:37 GMT

*hmpf*

http://derstandard.at/2000001422781/Ebay-Kundendaten-bei-Hackerangriff-gestohlen