• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Auditoría / Intrusión en eBay

Intrusión en eBay

21 mayo, 2014 Por Hispasec 8 comentarios

Esta vez le ha tocado a eBay, el gigante de las subastas online acaba de anunciar una intrusión en sus sistemas, por lo que recomienda a todos sus usuarios el cambio de contraseñas.
Este miércoles eBay ha reconocido que entre finales de febrero y principios de marzo (¡hace más de dos meses!), sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Los datos afectados incluyen el nombre de los usuarios, contraseñas cifradas, dirección e-mail, dirección física, número de teléfono y fecha de nacimiento. Según confirman, la base de datos a la que lograron tener acceso los atacantes no contenía información financiera ni ningún otro tipo de información confidencial personal. No existe ninguna evidencia de acceso a datos como números de tarjetas de crédito, que se almacenan de forma separada de forma cifrada.
Según la nota publicada por eBay la intrusión se logró a través del compromiso de un pequeño número de credenciales de autenticación de empleados. Lo que permitió el acceso no autorizado a la red corporativa de eBay.
Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios.
La compañía también ha confirmado que no hay evidencias de de acceso no autorizado o compromisos de información relativa a los usuarios de PayPal. Los datos de PayPal se guardan de forma separada en una red segura, y toda la información financiera de PayPal está cifrada.
Como ya hemos comentado en casos similares, la recomendación pasa siempre porque la compañía almacene las contraseñas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica. Sin embargo eBay afirma que sus contraseñas estaban cifradas.
Como en otras ocasiones quedan preguntas en el aire:¿Como «cifraban» las contraseñas? y como ya viene siendo habitual ¿Cuanto tardarán los datos de los usuarios en aparecer en pastebin?
Como medidas de seguridad recodar las ya habituales, como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la «password«, así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.
Más información:
eBay Inc. To Ask eBay Users To Change Passwords
http://investor.ebayinc.com/releasedetail.cfm?ReleaseID=849396
una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta
http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.html
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Auditoría

Interacciones con los lectores

Comentarios

  1. Ignacio Agulló dice

    23 mayo, 2014 a las 5:58 am

    Hispasec, me tenéis un poco hasta las naricillas con ésto de que si escribo el comentario en Mozilla Firefox (con NoScript, todo hay que decirlo) se pierde por la cara.

    Responder
  2. Ignacio Agulló dice

    23 mayo, 2014 a las 5:58 am

    Noticia importante, pero con un error:
    -«eBay (…) recomienda a todos sus usuarios el cambio de contraseñas»
    -«Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios.»
    Dicha recomendación no se ha producido. Al menos, no todavía. El citado comunicado no dice que recomiende a los usuarios cambiar de contraseña, sino que «va a recomendarlo». Más aún dice «Beginning later today, eBay users will be notified via email, site communications and other marketing channels to change their password.». Habla en futuro. Ars Technica dice: «Asked to comment on the lack of disclosure, an eBay spokeswoman wrote: «An updated password reset process is currently being rolled out to all our users. It will be available shortly.» «. Es decir, se está poniendo a punto un método para reiniciar las contraseñas, pero no está listo aún.
    Yo soy usuario de eBay y he recibido exactamente cero notificaciones. En cambio, sí que he recibido hace poco una notificación de SourceForge informando que han cambiado su algoritmo de hash por otro más fuerte, y que en el próximo inicio de sesión mi contraseña sería rehasheada; en este caso sí que me he apresurado a cambiar la contraseña. Pero en el caso de eBay no voy a hacerlo. ¿Porqué? Porque hay varias formas de lograr acceso a las contraseñas. Una es acceder directamente a la base de datos (difícil) y otra es lograr introducirse en el proceso de inicio de sesión y obtener copia de las contraseñas en cada inicio de sesión que se produzca (menos difícil). Mientras no se confirme que eBay ha quedado limpio como una patena, apresurarse a cambiar la contraseña podría no servir para otra cosa que facilitar a los intrusos una contraseña que aún no tienen.

    Responder
  3. Ignacio Agulló dice

    23 mayo, 2014 a las 6:38 am

    Después de escribir lo anterior, me dio por visitar la portada del sitio de eBay en la telaraña de amplitud mundial, http://www.ebay.com... y me encuentro que ahí sí que se muestra una petición de cambiar la contraseña, ofreciendo dos medios:
    a) Un mensaje de correo electrónico. No funciona, a mí no me llega.
    b) Un SMS con un código PIN. Sí funciona y se puede introducir una contraseña.
    Pero lo que se dice avisar a los afectados por correo electrónico, nanay. ¿No había una nueva normativa europea que obligaba a advertir a los afectados en caso de intrusión?

    Responder
  4. Anónimo dice

    24 mayo, 2014 a las 12:30 pm

    Y están avisando, ¿o no? Al entrar has visto un aviso en la portada… 😉

    Ya si eso, a lo mejor, en un futuro quizás recibas algo. Pero hoy no, ¡¡MAÑANA!! Jajajaja

    Responder
  5. Anónimo dice

    24 mayo, 2014 a las 12:47 pm

    Las empresas siempre declaran que los datos financieros están seguros en otra base de datos, además de cifrados e infranqueables. Pero… ¿por qué no tratan todos los datos con el mismo «cariño»?

    No me parece que sea nada más alla que venta de humos. La típica frase re-mascada que es necesaria decir para tranquilizar a los afectados y evitar que se le vengan encima miles o millones de demandas (y aun así no entendo como no les llueven desde los EUA debido a la gravedad del asunto).

    Y lo que es todavía más importante, ¿por qué, con la extrema importancia y delicadeza de este tipo de asuntos, tardan meses en asumirlos y alertar a los usuarios/clientes? ¿Es que no son capaces de detectar la intrusión al momento (con lo que la gravedad del asunto aumentaría «in extremis»)? ¿O es que acaso esperan un tiempo prudencial para ver que hacen con los datos robados y poder alegar «tranquilos, hace varios meses de esto y no ha pasado nada»?

    Responder
  6. Ignacio Agulló dice

    27 mayo, 2014 a las 4:55 pm

    Hispasec me tenéis hasta las naricillas de verdad, ahora no sólo se pierden por la cara los comentarios realizados desde Mozilla Firefox sino también los realizados desde Google Chromium,

    Responder
  7. Ignacio Agulló dice

    27 mayo, 2014 a las 4:56 pm

    Hoy 27 de mayo de 2014, a las 9:20 h. (hora europea y de Madrid), he recibido el mensaje de eBay pidiendo cambiar la contraseña. Es decir, han pasado más de cuatro días desde que anunciasen que lo iban a pedir. ¡Tarde, señores de eBay!

    Responder
  8. Ignacio Agulló dice

    27 mayo, 2014 a las 4:59 pm

    Dentro de la tardanza de eBay, hay que reconocer que su mensaje hace lo correcto: contiene cero enlaces, que es lo que hay que hacer para que los usuarios no se acostumbren a fiarse de los enlaces distribuidos por correo elecrónico. En vez de ello, dice: «Ve al sitio de eBay.es y cambia tu contraseña.»

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR