eBay sieht sich derzeit allgemeiner Kritik der Internet-Gemeinschaft ausgesetzt, und zwar wegen der Art und Weise, wie es beim Aufarbeiten des Sicherheitsvorfalls vorgeht, der Nutzerdaten gefährdet hatte. Am 21. Mai 2014 bestätigte das Unternehmen, dass eine Datenbank mit Anwenderpasswörtern und persönlichen Informationen kompromittiert worden war. Bankdaten oder PayPal-Daten seien nicht davon betroffen. Der Vorfall selbst geschah aber bereits im Februar oder März und eBay selbst hatte es erst Anfang Mai bemerkt.

eBay wird derzeit zur Rede gestellt, weshalb die Information so lange hinausgeschoben wurde und weshalb der Passwortänderungs-Prozess derart umständlich und aufwändig sein musste. Die eBay-Nutzer erhielten lediglich eine lapidare Empfehlung, ihre Zugangsdaten beim nächsten Besuch zu ändern, zusammen mit weiteren guten Ratschlägen. Doch leichter gesagt als getan, denn dabei handelte es sich um einen ziemlich unübersichtlichen Prozess.

Jeder fragt sich, weshalb eBay den Einbruch, bei dem etwa 145 Mio. Daten gestohlen wurden, drei Monate lang nicht entdecken konnte. Aber weder das Unternehmen noch das FBI sind mit Einzelheiten an die Öffentlichkeit getreten. Es ist lediglich bekannt, dass Zugangsdaten von einer kleinen Anzahl Mitarbeitern abgegriffen wurden. Damit konnten die Hacker den eigentlichen Zugang zur Datenbank erlangen und einen sehr großen Teil davon kopieren. Obwohl eBay mit dem FBI sowie mit IT-Forensikern und Computerforensikexperten von FireEye Inc’s Mandiant zusammenarbeitet, ist niemand bereit, einen Kommentar abgeben.

Dan Kaminsky, ein bekannter IT-Sicherheitsexperte, sagte, dass es für ihn nicht klar ist, weshalb eBay mit seiner Datenbanksicherung so nachlässig war. Hacker hätten heutzutage die Werkzeuge, um in fast jedes System einzudringen.

„Aus den Fortune 500 sind 500 Firmen immer unter Attacke. Jeder wird getroffen“,

so Kaminsky.

„Wenn wir sie schon nicht verhindern können, sollten wir wenigstens in der Lage sein, sie zu entdecken“,

so Kaminsky weiter. Die meisten IT-Sicherheitsexperten sind in Aufruhr wegen des Verhaltens von eBay. Es wird nach den IT-Überwachungssystemen gefragt, wie die Passwörter verschlüsselt waren und wie die Chancen stehen, dass Unfug mit den gestohlenen Daten betrieben wird. Und vor allem immer wieder, warum eBay die Information nicht früher – zum Schutz von allen – herausgegeben hat.

Artikel von nbcnews.com, 22.05.2014: Silent Auction: eBay and FBI Mum on Hack Details
Artikel von v3.co.uk, 22.05.2014: EBay slammed for password blundering after giant breach

US-Staatsanwälte aus drei Staaten und eine Kommission in Großbritannien untersuchen den Fall mittlerweile. Insbesondere auch, weshalb eBay derart viele personenbezogene Daten speichert. Berichten zufolge sind eine große Anzahl von eBay-Kundendaten auf Pastebin, einer Hackerseite, aufgetaucht. eBay weist dies in einer entsprechenden Erklärung zurück. Inzwischen gibt es erste Hinweise auf mögliche Phishing-Mails. Welches Verschlüsselungsverfahren eBay verwendet, will das Unternehmen nicht verraten. Lediglich: „Wir speichern die Passwörter ‚gehasht‘ und ‚gesalzen'“. Werden Passwörter gehasht und gesalzen gespeichert, könnten Angreifer die Datei mit den Passwörtern zwar trotzdem stehlen, aber der Aufwand für die Wiederherstellung der Passwörter wäre überproportional hoch.

Während es laut eBay bisher keine Indizien gibt, dass Passwörter geknackt und Kundenkonten missbraucht wurden, gibt es erste Hinweise auf einen möglichen Zusammenhang mit Phishing-Mails.

Artikel von bbc.com, 23. 05.2014: eBay faces investigations over massive data breach
Artikel von theregister.co.uk, 23.05.2014: eBay faces MULTIPLE PROBES into mega-breach
Artikel von heise.de, 22.05.2014: 145 Millionen Kunden von eBay-Hack betroffen