パスワードを忘れた? アカウント作成
11006986 story
情報漏洩

不正アクセスを受けたeBay、パスワード変更を呼びかけ中 17

ストーリー by hylom
どちらにせよ使い回しはやめましょう 部門より
masakun 曰く、

eBayがサイバー攻撃を受けたことを明らかにし、すべてのユーザーに対しパスワード変更を呼びかけている(eBay.co.uk パスワード変更ページITmediaギズモード)。

発表によると、 2月下旬から3月上旬にかけて何者かが従業員のログイン情報を使ってeBayの社内ネットワークに侵入。ログインパスワードは暗号化されていたものの、名前や住所、電話番号といった利用者のアカウント情報が格納された社内データベースにアクセスされた。そしてこの従業員のログイン情報が漏洩したことに eBay が気づいたのが2週間前で、調査の過程で不正アクセスが露見したという。そのため現在eBayトップページやMy eBayのメッセージで告知し、パスワードをリセットするよう求めている。

ちなみにASCII.jpの記事によると、1億4500万件の全eBayユーザーアカウントの個人情報をビットコインで販売する旨の投稿がサンプルダンプのリンクとともにpastbin.comに掲載された(ただしニュースに便乗した詐欺の可能性もある)。

またeBay公認の海外オークションサイト「セカイモン」によると、「セカイモン」ユーザーの情報はeBayに渡していないため関係ないという(セカイモンインフォメーション)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Hatris (33732) on 2014年05月28日 9時37分 (#2609856) 日記

    1週間くらい前からspam-mailがかなり増えたんだけど、eBayのお漏らしのせいなのかなあ。
    メールアドレスはeBayに登録していたアドレスで、今まで来ていたspamは別アドレス宛だったんだよね。
    今まで来ていたspamが沈静化してきたのに、ちょうど入れ違いになるようにまた増えるとはなあ。
    さらに、海外spamは芸がない内容でまったくもってつまらんし。
    ポエムの一つも書いてない。

  • 今月22日頃顧客情報が漏えいしたという報道があったので米国版ebayのサイトを訪問したのですが、トップページに漏洩についての記載がありませんでした。
    パスワードは暗号化されたものであったため、漏洩しても大丈夫という判断なのかなあと思って、なにもしませんでした。
    今行ってみると、確かにパスワードをリセットするよう求めていますね。

    もしかしたら登録されたメールアドレス宛に告知メールが届いていたかもしれませんが、差出人がebayとなっているメールは怖くて開けられません(^^;

    • 24日(日本時間)にebay.comにログインした際には、My eBayの中には掲示がありました。あとログイン後にも特別なページに飛ばされた気がします。
      >パスワードは暗号化されたものであったため、漏洩しても大丈夫
      なのかなと私も思ってましたが、昨日一昨日あたりにメールでも念押しで連絡来てました。

      親コメント
    • >登録されたメールアドレス宛に告知メールが届いていたかもしれませんが、差出人がebayとなっているメールは

      現時点でうちには来てないですね。ただしタレこみにも書きましたけど、「My eBay のメッセージ宛」に5月24日 eBay Change Password Confirmation が届いています。いきなりアカウントページを開く僕みたいな人はそっちからということでしょうか。

      ま、ニュースを知ったのはrxk14007氏の日記経由だったりしますが。A(^_^;

      # UK 版 eBay をもっぱら見に行くのでID

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
    • 少し遅くない?と思ったり。

    • by Anonymous Coward

      何かメール届いてましたがフィッシングメールだと思ってました

    • by Anonymous Coward
      いつも思うんだけど、メール開くのが怖いって、なんでなん?メール開いただけでウイルスに引っかかるとでも?
      メールソフトの脆弱性で、何か問題がある場合もあるが、それだとあらゆるメールが開けないわけで。

      HTMLメールのスクリプト動かさないで、リモート画像も取り込まないで、純粋にただのテキストまたはHTMLとして表示するだけの場合、そんな恐怖を持つようなこと?

      # 怖いのは安易にメール内のURLクリックすることかと
      • IPAのウイルス関連FAQにあるQ1.電子メールを開くだけで感染するウイルスがあるそうですが。 [ipa.go.jp]の回答から。

        電子メールの HTML 形式の本文に感染するウイルスがあります。マイクロソフト社のInternet Explorer のパッチをあて、セキュリティレベル設定を適切にすることで、このウイルスの自動実行を防止できます。電子メールのテキスト形式の本文に感染するウイルスは有りません。

        同じくIPAの3. 今月の呼びかけ:「ワクチンソフトを過信していませんか?」 [ipa.go.jp]から。

        以下の基本事項を守ることで、感染被害に遭わないようにしましょう。
        (1) ワクチンソフトを導入していても不明な添付ファイルは開かない。
                新種ウイルスは検出されない可能性があります。
        (2) 身に覚えのないメールは開かずに削除する。
                広告メールやウイルスメールである可能性があります。
        (3) 普段と違う、見慣れない英文のメールは注意する。
                ウイルスは英語で届くケースが多いです。

        MicrosoftのサポートページにあるOutlook Express や Outlook でできるウイルス対策は? [microsoft.com]の説明から。

        知らない相手から送られてきたメールは、うかつに開くとウイルスに感染するおそれがあるから、注意した方がいいよ。特に、添付ファイルが付いているメールは、要注意。

        以上の文書が若干古いことは否めません。
        その当時の感覚では「メールを開くだけでウイルスに感染するはずがないのに感染した」ということに驚きを持って警告したのだと思います。
        当時の経験から、「不審なメールは開かずに削除」という(私の職場での)指導が現在まで残っているのだろうと思います。

        親コメント
  • by Anonymous Coward on 2014年05月28日 10時28分 (#2609885)

    私のところでは、昨日(5/27)に英文の案内メールが届きました。

    漏洩のニュースを聞いたときに、すぐPWを変更しまして置きましたが、そのときには、トップページには案内をうながずロゴはありませんでした。

    PW変更の手順を探すのにちょっと手間取りましたが、現在では、PW変更専用のロゴがあり、それをクリックすると変更ページが直接開けるようになっていますね。

  • by Anonymous Coward on 2014年05月28日 10時44分 (#2609897)

    平文で入ってなかったというのはわかったけど、他のと同じように持ってかれたということですかね。

    • by Anonymous Coward
      どのように暗号化したのか言わないと割と意味ないよな。漏れてる前提で行動しないと。
      # ROT13かもしれないし
      • by Anonymous Coward

        PBKDF2 SHA-256 でハッシュ化説があるみたいですけど…本当かどうかはよくわからず。プロプラエタリなアルゴリズムってなんでしょ?

  • by Anonymous Coward on 2014年05月28日 12時13分 (#2609956)

    HOTPでもTOTPでもいいから対応してくれ。もう機は熟しているだろ。

  • by Anonymous Coward on 2014年05月28日 20時11分 (#2610356)

    まだ致命的な脆弱性が色々あるようですが。ていうかなんでこのネタが含まれてないの?

    Worst Day for eBAY, Multiple Flaws leave Millions of Users vulnerable to Hackers
    http://thehackernews.com/2014/05/worst-day-for-ebay-multiple-flaws-lea... [thehackernews.com]

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...