Angriff auf eBay: Kundendaten entwendet

[Bruce Li]

@Sky.NET

Was haben die Schulungen oder die Mitarbeiter mit einem Serverhack / Datenklau zutun?
Als Mitarbeiter hast du keine Einsicht auf die Passwörter, Daten sieht man, aber ist ja logisch sonst kannst das Mitglied nicht verifizieren, Und soviele Daten als Mitarbeiter klauen? Handys oder Kameras sind strickt verboten, sprich wenn man das als Mitarbeiter vorhat, müsste man nach jedem gespräch/Email aufs Klo gehen und sich die Daten aufschreiben, aber was für einen Zweck hätte das ganze?


Edit: Paypal ist absolut nicht vom Datenklau betroffen

[DMW007]

Hast du überhaupt nur mal den ersten Satz hier gelesen? Anscheinend nicht, denn darin steht nämlich, dass der Zugang eines MITARBEITERS missbraucht wurde. Sprich da hatte jemand regulär Zugriff auf diese Daten. Solche Leute muss es geben. Gibt es überall, hier bei U-Labs auch wie beispielsweise mich. Der Durchschnitts-Mitarbeiter wird natürlich keinen Zugriff auf die gesamte eBay-Kundendaten haben, das ist klar. Braucht er auch nicht. Aber Server-Admins kommen beispielsweise zwangsweise recht nah an Nutzerdaten. Bei einer so großen Plattform wie eBay wird es da wohl nicht nur ein oder zwei, sondern ein paar Leute mehr geben.
Darüber was genau passiert ist lässt sich nur spekulieren, da eBay soweit ich weiß bisher keine genaueren Angaben dazu gemacht hat. Beispielsweise könnte ein Mitarbeiter eine verseuchte Datei geöffnet haben. Oder unsichere Passwörter für kritische Zugänge gesetzt haben. Genau so gut könnte er schlicht und einfach wichtige Zugangsdaten auf einem Zettel notiert haben, den er Verloren oder irgendwo liegen gelassen hat. Vielleicht hat ihn auch jemand dafür bezahlt. Wir reden hier schließlich nicht von ein paar Daten irgendwoher, sondern von der weltweit größten Online-Auktionsplattform. Wie gesagt, da gibt es verschiedene Möglichkeiten. Die Wahrscheinlichkeit ist aber hoch, dass an irgendeiner Stelle menschliches Versagen die Ursache war. Genau werden wir es wohl nie erfahren. Schließlich hat eBay keinerlei Interesse daran, nach der Aufklärung das Thema noch mal mit einer genauen Erklärung was passiert ist zu pushen, im Gegenteil. Wenn sich dabei herausstellen sollte, dass eBay selbst daran Schuld war weil beispielsweise die betroffenen Mitarbeiter nicht ausreichend geschult waren), sowieso nicht. Damit würde sich eBay selbst ans Bein pinkeln.

[Bruce Li]

Dann hast du meine und sky.nets diskussion nicht ganz verstanden, Jemand der bei Ebay als Server-Admin arbeitet, hatte also ne schlechte Schulung oder ist dumm?

Oder wie habe ich das dann zu verstehen

[DMW007]

Doch, aber du hast den Einwand bezüglich der Mitarbeiter nicht verstanden. Die Schulung der Mitarbeiter ist wichtig, weil falsches Verhalten bei den falschen Leuten sonst schnell zu so was führen kann. Das muss nicht mal beabsichtigt sein. Kann genau so gut z.B. an nicht ausreichenden Sicherheitsrichtlinien der Firma liegen. Oder jemand hat schlicht und einfach einen menschlichen Fehler gemacht, so was kann selbst den Besten passieren.
Vielleicht ist es auch eine ungünstige Kombination von Umständen gewesen, mit denen ein (vielleicht etwas gutgläubiger) Mitarbeiter dazu gebracht wurde, seine Zugangsdaten preiszugeben. Wäre ja nicht das erste Mal, dass man mittels Social Engineering den Faktor Mensch ausnutzt.
Aber gleich zu pauschalisieren von wegen alle eBay Mitarbeiter wären dumm oder inkompetent ist natürlich quatsch. Das hat aber auch niemand gesagt. Um an solche Daten zu gelangen reichen meist schon sehr wenige, ggf. auch schon ein Mitarbeiter, je nachdem wie das bei eBay gehandhabt wird und wie die Hacker vorgegangen sind. Fakt ist aber, dass irgendjemand Fehler gemacht haben muss. Egal ob unter den Mitarbeitern oder in der Chefetage. Denn wenn jeder alles richtig gemacht hätte, wäre das ganze wahrscheinlich nicht passiert. Menschliches Versagen kommt schließlich vergleichsweise häufig vor.

Update 28.07.2014: Sammelklage in den USA gegen eBay

Ein US-Bürger hat eBay auf Schadensersatz verklagt, da er nicht ausreichende Sicherheitsvorkehrungen seitens eBay als Ursache für den Hack hält. Hauptsächlich kritisiert er, dass eBay den Vorfall drei Monate lang für sich behalten haben soll, bis die Nutzer informiert wurden. Hier sollen finanzielle Interessen zulasten von Privatsphäre und Datenschutz der Nutzer durchgesetzt worden sein.

Quelle: heise.de

[Sky.NET]

Was haben die Schulungen oder die Mitarbeiter mit einem Serverhack / Datenklau zutun?
Als Mitarbeiter hast du keine Einsicht auf die Passwörter, Daten sieht man, aber ist ja logisch sonst kannst das Mitglied nicht verifizieren, Und soviele Daten als Mitarbeiter klauen? Handys oder Kameras sind strickt verboten, sprich wenn man das als Mitarbeiter vorhat, müsste man nach jedem gespräch/Email aufs Klo gehen und sich die Daten aufschreiben, aber was für einen Zweck hätte das ganze?

Du bist ja ein lustiger Fratz, denkst tatsächlich, das gesamte System von Ebay hätte sich selbst programmiert und eingerichtet und müsse jetzt nur noch entsprechend bedient werden was?

Ist aber leider so, dass da Anwendungsentwickler (ja, auch das sind MITARBEITER) die Bugs reinprogrammiert haben, die jetzt für den ganzen Trouble sorgen.
Hätte man diese Leute auf IT-Sicherheitsschulungen geschickt oder hätten diese Leute derartiges Know-How in die Firma mitgebracht gäbe es gar keine Sicherheitslücken wie z.B. die XSS-Lücke im Reg-Formular.

Dazu kommen dann noch die regulären Mitarbeiter, die das System nur benutzen, auch diese müssen entsprechend geschult werden, was sichere Passwörter und den Umgang mit einem Arbeits-PC angeht, und genau für so etwas gibt es Sicherheitsrichtlinien in JEDER IT-Firma, wenn die Mitarbeiter die natürlich nicht ernst nehmen oder erst gar keine Kenntnis davon erhalten, ist die Unsicherheit von Mitarbeiteraccounts vorprogrammiert.

Bei ner Firma wie Ebay kommen irgendwelche Accounts nicht einfach mal aus Zufall abhanden...