Qualcuno si è introdotto nei server di eBay e ha compromesso un database di password crittografate e dati non finanziari degli utenti. Per questo la società sta inviando ai propri clienti una mail con cui chiede di cambiare la password stessa. Al momento nulla indica che ci siano stati accessi non autorizzati - la protezione crittografica delle password dovrebbe tenerle al sicuro - ma modificarle "è una best pratice e aiuterà a migliorare la sicurezza degli utenti eBay", spiega il comunicato stampa.
Qualche danno per eBay invece c'è stato perché sono stati violati gli account di alcuni dipendenti, e gli intrusi sono riusciti ad accedere alla rete aziendale. Le password di questi account sono state probabilmente ottenute con attacchi mirati basati sul social engineering. L'accesso illecito ha permesso poi di accedere ai dati dei clienti.
I dati dei clienti sottratti, oltre alla password crittografata, includono indirizzo email, indirizzo fisico, numero di telefono e luogo di nascita. Informazioni che potrebbero servire a realizzare furti d'identità ai danni dei clienti - l'obiettivo non era necessariamente violare l'account eBay. L'attacco si è verificato tra la fine di febbraio e l'inizio di marzo ma eBay non ha notato nulla di sospetto fino a due settimane fa circa, che sono state spese indagando sull'accaduto prima di rilasciare l'annuncio ufficiale di oggi.
L'incidente è senz'altro fastidioso ed espone gli utenti eBay coinvolti a qualche rischio, magari non particolarmente alto ma nemmeno trascurabile. Ci può servire però da promemoria: i dati che consegniamo alle società online non sono mai assolutamente sicuri, ed è quindi importantissimo che da parte nostra facciamo il possibile per proteggerli. Il minimo è usare una password complessa e diversa per ognuno dei servizi usati; se è troppo difficile ricordarle tutte basta affidarsi a software specifici come Keepass oppure OnePassword. eBay suggerisce infatti di cambiare la password anche su altri siti, se si usava quella compromessa su più servizi.