5月21日,全球上億eBay用戶紛紛收到了一封令人擔憂的更換密碼通知,eBay只是輕描淡寫地說明內部發生了某種資安或維護問題,因而要求用戶儘快更換登入密碼,就連eBay旗下跨國線上支付服務PayPal的網站上,都貼出eBay緊急呼籲用戶更換密碼的公告。eBay沒有說明太多細節,但這個突如其來的舉動,已引起眾人議論紛紛,不少媒體也紛紛推測eBay出大事了。

果然,幾個小時以後,eBay官方部落格發布了一則震驚全球的公告,甚至導致當天eBay紐約股價重挫。

eBay在這則緊急公告中坦言遭駭,呼籲用戶儘快更換密碼。根據eBay內部調查,今年2月底到3月初時,eBay網站的用戶資料庫遭駭客入侵。這個資料庫儲存了eBay顧客的姓名、加密過的密碼資訊、實體住址、電話和生日等個資,另外還有其他非金融類資料,或是與信用卡無關的資訊,資料庫內也沒有其他機敏性的個資。

不過,eBay並未揭露駭客入侵的細節,僅在公告中解釋,駭客先竊取了少數內部員工的登入憑證,再以此入侵了eBay的企業內網,進而能入侵資料庫。eBay直到2周前,約5月初時,才發現這些員工憑證遭竊。為了徹底清查問題,eBay直到5月21日才對外公開,並在當天稍早,透過電子郵件、內部通訊機制或各種行銷通路,要求所有用戶儘快更換密碼,甚至提醒用戶,也得一併更換使用了相同密碼的其他網站服務。

在過去2周,eBay找來法律團隊和資安專家,緊急清查內部網路。根據公告內容,eBay表示,初步還未發現任何非法的用戶活動,或是非法存取信用卡資訊的紀錄。另外,eBay也澄清,PayPal的用戶不會受到影響。因為PayPal用戶資料儲存於另一個不同的資料庫中,而沒有儲存在這次遭駭資料庫中。目前eBay也沒有發現任何非法授權存取PayPal用戶資料的記錄。

然而eBay發言人Amanda Miller隨後在接受路透社採訪時,透露了初步的可能災情,她表示,目前eBay已發現駭客可以接觸到1億4千5百萬筆資料,而且證實駭客已複製了其中的大部分資料。

不過,根據eBay英國網站的公司背景介紹,eBay是全球最大的線上商城,全球用戶達到2億3千3百萬人,扣除已經發現遭駭的1億4千多萬筆記錄,其餘用戶資料也都有可能遭竊外洩,後續災情恐怕比目前更嚴重。

去年12月美國第二大連鎖商店Target遭駭事件,初期也只發現了7千萬名用戶受影響,後續才揭露了更多用戶資料外洩,影響人數累計達到1.1億名客戶。

若依上述eBay用戶規模來估算,若後續發現更多用戶資料遭駭,eBay遭駭事件的影響人數恐怕會超過2億人,這個災情遠高於Target遭駭事件的1.1億客戶,甚至也比去年俄羅斯駭客用七年竊取1.6億筆信用卡資料的災情,還要更嚴重。eBay這次遭駭事件,恐將演變成為全球史上最大宗的個資外洩事件。

eBay事件造成的影響將會多大,目前還難以預估。但距離3月初eBay資料庫遭駭的時間,到5月初才發現了問題憑證,eBay足足慢了2個月。eBay沒有說明這些遭竊密碼採取何種強度的加密保護,但經過2個月的時間,駭客可能已經找到方法,破解了這些密碼的加密措施。

甚至,更大的危險是eBay資料庫中那些沒有加密的姓名、電話、地址和生日資訊。這些資訊很容易成為駭客發動社交攻擊誘騙民眾的資訊。或是有些網路服務只以電話或生日,作為重設密碼的第二層驗證機制。駭客甚至不需要破解加密,只是利用這些基本個資,就足以入侵用戶帳號。

更換了新密碼,只是避免危險擴大的第一步,但後續,用戶還是得提高警覺,留意可疑的社交工程詐騙手法,因為,這些用戶的基本個資等於都已攤在陽光下了。

相關報導請參考:「eBay用戶帳密資料庫遭駭 1億4千萬用戶個資恐外洩」美國各州開始對eBay遭駭事件展開調查

作者簡介


Advertisement

更多 iThome相關內容