Ebay ruft nach Hackerangriff Nutzer zur Passwortänderung auf

Das Online-Aktionshaus Ebay ruft nach einem Hackerangriff, der sich bereits Ende Februar ereignet hat, alle Nutzer zur Änderung ihrer Passwörter auf. Durch gestohlene Mitarbeiter-Log-ins haben sich die Angreifer Zugang zu einer verschlüsselten Datenbank mit Kundendaten verschafft, die neben Benutzernamen und Kennwörtern auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummer und Geburtsdatum gespeichert waren.

Ebay betont, dass es bisher keinen Anstieg von betrügerischen Aktivitäten auf seiner Handelsplattform registriert habe. Auch seien keine Bank- oder Kreditkartendaten gestohlen worden. Diese werden in einer anderen Datenbank gespeichert. Von dem Angriff sind Zugangsdaten seiner Bezahldiensts Paypal nicht betroffen. Diese werden in einem anderen Netzwerk gespeichert. Trotzdem rät Ebay auch Paypal-Anwendern ihre Passwörter zu ändern. Kunden, die das Ebay-Passwort auch für andere Dienste nutzen, sollten bei diesen ebenfalls ihre Zugangsdaten ändern und in Zukunft vermeiden, identische Passwörter für andere Dienste zu verwenden.

Warum Ebay seine 128 145 Millionen Nutzer erst so spät über den Angriff informiert hat, geht aus dem Firmen-Blogeintrag hervor. Das Unternehmen hat angeblich erst Anfang Mai von dem Diebstahl der Mitarbeiter-Log-ins erfahren und anschließend den Vorfall näher untersucht und erst jetzt herausgefunden, welche Datenbank die Hacker im Visier hatten. Ebay-Nutzer würden auch per E-Mail über den Vorfall informiert, teilte das Unternehmen mit.

Angriffe auf Internetdienstleister sind leider keine Seltenheit. Anfang April meldete das Bundesamt für Sicherheit in der Informationstechnik zum wiederholten Mal, dass Kriminelle fast 20 Millionen E-Mail-Konten erbeutet haben, um mithilfe eines Botnetzes sich in E-Mail-Accounts einzuloggen und diese für den Versand von Spam-Mails zu missbrauchen.

Identitätsdiebstahl ist dem Bundesamt zufolge eines der größten Risiken bei der Internetnutzung. Meist schleusen die Angreifer eine Schadsoftware auf dem Rechner ihres Opfers ein, die etwa Tastatureingaben und Anmeldevorgänge protokolliert oder Transaktionen direkt manipuliert. Die aufgezeichneten Daten werden dann vom Nutzer unbemerkt an von den Angreifern präparierte Rechner gesendet (“Dropzones”) und anschließend von dort heruntergeladen.

Auf dem Schwarzmarkt bringen heute Zugangsdaten zu Mailkonten oder Social Media höhere Beträge als Kreditkartendaten samt PIN, wie vergangenen Monat in einem Bericht der RAND Corporation zu lesen war: Bis zu zehn weitere Zugänge eröffnen sich mit einem Log-in-Datendiebstahl. Die Daten können auch für gezieltes Phishing (Spearphishing) bei Verwandten, Freunden oder Kollegen des Opfers eingesetzt werden. Und weil das Opfer einen Missbrauch nicht sogleich bemerkt, bleiben die Daten länger nutzbar.

Update 22.5. 17:19: Sicherheitsspezialist Avast sieht zwischen dem jetzt bekannt gewordenen Angriff auf Ebay und dem Heartbleed-Bug Parallelen und fordert von den Anwendern mehr Initiative. Avast-COO Ondrej Vlcek sagt: „Der Ebay-Hack stellt das gleiche Passwort-Problem dar wie Heartbleed. Es ist wirklich wichtig, dass Nutzer solche Vorfälle ernst nehmen. In einer Studie zu Heartbleed haben wir herausgefunden, dass zwar neun von zehn Nutzer ihre Passwörter ändern wollten, sobald sie von Heartbleed erfahren haben. Letztendlich haben dies aber nur 40 Prozent in die Tat umgesetzt. Diese gleichgültige Einstellung ist ziemlich verantwortungslos – Verbraucher müssen selbst aktiv werden, um sich zu schützen. Grundsätzlich sollten Nutzer ihre Passwörter alle drei bis sechs Monate ändern. Es ist ratsam, komplexe Passwörter mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu erstellen. Außerdem sollten Ebay-Kunden und andere Nutzer für jedes Online-Konto ein individuelles Passwort auswählen. In der aktuellen Situation wäre es wirklich ungünstig, für Paypal die gleichen Zugangsdaten zu haben wie für Ebay.“

[Mit Material von Don Reisinger, CNET.com]