不正アクセスを受けたeBay、パスワード変更を呼びかけ中 17
ストーリー by hylom
どちらにせよ使い回しはやめましょう 部門より
どちらにせよ使い回しはやめましょう 部門より
masakun 曰く、
eBayがサイバー攻撃を受けたことを明らかにし、すべてのユーザーに対しパスワード変更を呼びかけている(eBay.co.uk パスワード変更ページ、ITmedia、ギズモード)。
発表によると、 2月下旬から3月上旬にかけて何者かが従業員のログイン情報を使ってeBayの社内ネットワークに侵入。ログインパスワードは暗号化されていたものの、名前や住所、電話番号といった利用者のアカウント情報が格納された社内データベースにアクセスされた。そしてこの従業員のログイン情報が漏洩したことに eBay が気づいたのが2週間前で、調査の過程で不正アクセスが露見したという。そのため現在eBayトップページやMy eBayのメッセージで告知し、パスワードをリセットするよう求めている。
ちなみにASCII.jpの記事によると、1億4500万件の全eBayユーザーアカウントの個人情報をビットコインで販売する旨の投稿がサンプルダンプのリンクとともにpastbin.comに掲載された(ただしニュースに便乗した詐欺の可能性もある)。
またeBay公認の海外オークションサイト「セカイモン」によると、「セカイモン」ユーザーの情報はeBayに渡していないため関係ないという(セカイモンインフォメーション)。
スパムが増えた (スコア:2)
1週間くらい前からspam-mailがかなり増えたんだけど、eBayのお漏らしのせいなのかなあ。
メールアドレスはeBayに登録していたアドレスで、今まで来ていたspamは別アドレス宛だったんだよね。
今まで来ていたspamが沈静化してきたのに、ちょうど入れ違いになるようにまた増えるとはなあ。
さらに、海外spamは芸がない内容でまったくもってつまらんし。
ポエムの一つも書いてない。
Re:スパムが増えた (スコア:2)
そうだよねぇ、大体バイアグラ(もしくは類似品)ばっかり。そんなに、勃たんと思われてるのか。
それとも、CBR1000RRのED(Europe Direct)仕様の部品を探したのが悪かったのか…
米国版ebayのトップページでは (スコア:1)
今月22日頃顧客情報が漏えいしたという報道があったので米国版ebayのサイトを訪問したのですが、トップページに漏洩についての記載がありませんでした。
パスワードは暗号化されたものであったため、漏洩しても大丈夫という判断なのかなあと思って、なにもしませんでした。
今行ってみると、確かにパスワードをリセットするよう求めていますね。
もしかしたら登録されたメールアドレス宛に告知メールが届いていたかもしれませんが、差出人がebayとなっているメールは怖くて開けられません(^^;
Re:米国版ebayのトップページでは (スコア:2)
24日(日本時間)にebay.comにログインした際には、My eBayの中には掲示がありました。あとログイン後にも特別なページに飛ばされた気がします。
>パスワードは暗号化されたものであったため、漏洩しても大丈夫
なのかなと私も思ってましたが、昨日一昨日あたりにメールでも念押しで連絡来てました。
Re:米国版ebayのトップページでは (スコア:1)
>登録されたメールアドレス宛に告知メールが届いていたかもしれませんが、差出人がebayとなっているメールは
現時点でうちには来てないですね。ただしタレこみにも書きましたけど、「My eBay のメッセージ宛」に5月24日 eBay Change Password Confirmation が届いています。いきなりアカウントページを開く僕みたいな人はそっちからということでしょうか。
ま、ニュースを知ったのはrxk14007氏の日記経由だったりしますが。A(^_^;
# UK 版 eBay をもっぱら見に行くのでID
モデレータは基本役立たずなの気にしてないよ
2週間後に通報って (スコア:0)
少し遅くない?と思ったり。
Re: (スコア:0)
何かメール届いてましたがフィッシングメールだと思ってました
Re: (スコア:0)
メールソフトの脆弱性で、何か問題がある場合もあるが、それだとあらゆるメールが開けないわけで。
HTMLメールのスクリプト動かさないで、リモート画像も取り込まないで、純粋にただのテキストまたはHTMLとして表示するだけの場合、そんな恐怖を持つようなこと?
# 怖いのは安易にメール内のURLクリックすることかと
Re:米国版ebayのトップページでは (スコア:1)
IPAのウイルス関連FAQにあるQ1.電子メールを開くだけで感染するウイルスがあるそうですが。 [ipa.go.jp]の回答から。
同じくIPAの3. 今月の呼びかけ:「ワクチンソフトを過信していませんか?」 [ipa.go.jp]から。
MicrosoftのサポートページにあるOutlook Express や Outlook でできるウイルス対策は? [microsoft.com]の説明から。
以上の文書が若干古いことは否めません。
その当時の感覚では「メールを開くだけでウイルスに感染するはずがないのに感染した」ということに驚きを持って警告したのだと思います。
当時の経験から、「不審なメールは開かずに削除」という(私の職場での)指導が現在まで残っているのだろうと思います。
PW変更専用ページができている (スコア:0)
私のところでは、昨日(5/27)に英文の案内メールが届きました。
漏洩のニュースを聞いたときに、すぐPWを変更しまして置きましたが、そのときには、トップページには案内をうながずロゴはありませんでした。
PW変更の手順を探すのにちょっと手間取りましたが、現在では、PW変更専用のロゴがあり、それをクリックすると変更ページが直接開けるようになっていますね。
Re: (スコア:0)
まじで変更めんどい(愚痴)。
Re:PW変更専用ページができている (スコア:1)
大文字の文字列に1文字小文字を混ぜるだけではダメで、なおかつ覚えられるものを決めるのに手こずりました。A(-.-;
モデレータは基本役立たずなの気にしてないよ
結局パスワードは持ってかれたのかいな (スコア:0)
平文で入ってなかったというのはわかったけど、他のと同じように持ってかれたということですかね。
Re: (スコア:0)
# ROT13かもしれないし
Re: (スコア:0)
PBKDF2 SHA-256 でハッシュ化説があるみたいですけど…本当かどうかはよくわからず。プロプラエタリなアルゴリズムってなんでしょ?
二要素認証に対応してくれ (スコア:0)
HOTPでもTOTPでもいいから対応してくれ。もう機は熟しているだろ。
他の脆弱性の対策は? (スコア:0)
まだ致命的な脆弱性が色々あるようですが。ていうかなんでこのネタが含まれてないの?
Worst Day for eBAY, Multiple Flaws leave Millions of Users vulnerable to Hackers
http://thehackernews.com/2014/05/worst-day-for-ebay-multiple-flaws-lea... [thehackernews.com]