Nach eBay-Hack: Phishing-Mails mit euren echten Adressen
von caschy | 38 Kommentare
ebay hat ein riesiges Datenleck gehabt. Vor Monaten schon konnten Hacker Inhalte einer Datenbank abgreifen, die derzeit so um die 145 Millionen Kundendatensätze enthält. Einhundertfünfundvierzig Millionen, das muss man sich mal auf der Zunge zergehen lassen.
Inhalt der Datenbank: Daten und verschlüsselte Passwörter. ebay selber schreibt, dass die Datenbank Ende Februar/ Anfang März kopiert wurde und dass sie auch Daten nicht-finanzieller Art erhält. Also anscheinend alles, was ihr so angegeben habt – ausser die Kreditkartendaten etc.
Es ist schon recht komisch, wenn man weiss, dass seit März auch Phishing-Mails rumgehen, die ein interessantes Kriterium haben: eure vollständige Adresse. Seit dem Bekanntwerden des eBay-Hacks bekomme ich vermehrt Mails von Lesern, die Phishing-Mails bekommen. Schicke Mail, sieht echt aus – und hey – da ist eure Adresse und eurer Name drin. Da kann man schon einmal große Augen bekommen.
Nicht aber, wenn man sich den Spaß weiter anschaut, dann wird es wohl für viele, die etwas kritischer an die Mail rangehen, offensichtlich. Denn dann wird gebeten, ein Formular auszufüllen und abzuschicken. Ausfüllen muss man eben seine Bankdaten. Kreditkartennummer / Bank und all so etwas. Nun mag einer sagen: „Pff, da fällt keiner drauf rein“, aber Blödsinn. Warum schicken euch die Affen Mails? Weil es bei irgendeinem schon klappen wird. Und wenn es nur bei einem aus 10.000 ist. Manche wissen es einfach nicht besser oder sind auch aufgrund irgendwelcher wilden Typos in den Mails nicht abgeschreckt.
Deshalb: Augen auf und vielleicht nicht so versierte eBay-Nutzer gerade jetzt sensibilisieren – denn gerade im Rahmen des medialen Spektakels rund um die E-Mail-Geschichte kann manch einer glauben, dass diese Mail da tatsächlich echt ist.
Übrigens: Wer glaubt eigentlich an einen Zusammenhang ebay-Hack / BSI-Mitteilung und 18 Millionen Adressen? Ich sage es euch: ich.
Wird geladen ...
Wollte eBay eigentlich nicht alle per Mail informieren? Also ich habe bisher nichts erhalten.
Ich habe die Tage eine SMS bekommen mit dem Wortlaut: „Herr[MeinNachname],Ihr DHL Packung ist ihnen geliefert, verfolgen Sie online über http://goo.gl/%5Bxyz%5D“ – da niemand meine mobilnummer hat, ich die aber dann und wann angegeben hab für 2 wegen auth, kam mir in den Sinn, das meine Daten irgendwo rausgeleakt sind. Ebay scheint mir jetzt recht wahrscheinlich. Na da…
Jup – es gibt halt die Leute, bei denen es noch klappt: siehen http://dilbert.com/strips/comic/2014-05-19/
Was ich mich bis heute frage : …
Es ist mit einem Klick möglich, die gesamte Ebay Seite herunterzuladen inkl. aller Styles u.co.
Die Dateien kann man danach so schön anpassen – und das sieht dann echt aus.. wieso bastel die mega hacker dann eine solch hässliche Nachbildung? Ich mein mal ehrlich verrutschte Elemente sollten selbst dem dümmsten User auffallen finde ich …
Schon peinlich, dass schon Phishing-Mails unterwegs sind, während eBay es immer noch nicht auf die Reihe bekommen hat, eine echte Info-Mail mit einer Warnung und Aufforderung zur Passwortänderung an alle User zu verschicken.
AXA hat mir diese Woche eine E-Mail geschickt, dass ich doch aufgrund des Heartbleed-Bugs mein PW ändern. Sehr zeitnah die Kollegen. Man sollte solche Admins entlassen. Wer das bei dem Medien-Hype vor Wochen nicht bekommen hat, hat in dem Job nichts verloren.
Wenn das seit März bekannt ist, wieso zum **** kommt eBay erst jetzt damit ums Eck? Aussitzen ist bei solchen Sicherheitslecks definitiv der falsche Weg.
Wäre ja schön, wenn eBay auch mal in Deutschland die TFA einführen würde 🙁
Meine bisherigen eBay Passwörter waren jedenfalls besser!
Hab gestern echt eine halbe Ewigkeit gebraucht um
da was Brauchbares zu konstruieren.
Man konnte Passwörter nicht aus KeePass kopieren.
Es waren ausdrücklich Sonderzeichen erwünscht dennoch
wurden sie nicht akzeptiert.
Ziemlicher Mist dass Ganze!
Zur Zeit geht auch eine vergleichsweise gut gemachte (richtige Ansprache und richtiges Deutsch) Mail mit deutlich verdächtigem und Viren-verseuchtem Anhang rum, bei der es sich um angebliche Video-on-Demand Dienste dreht.
Als Absender wird dabei „Video on Demand Service GmbH“ angezeigt. „Unterschrieben“ wird mit „Giropay Billing GmbH und Video on Demand Service GmbH“ plus Name XY.
Wäre der Anhang nicht eine ZIP-Datei statt einer PDF, könnte man fast meinen, man hätte irgendwo im WWW mal wieder einen falschen Button gedrückt und sich ein Abo eingefangen.
Möchte nicht wissen, wie Viele darauf inzwischen schon reingefallen sind.
Man sollte auch mal drauf hinweisen, dass jetzt nicht nur von gefälschten ebay-Mails Gefahr ausgeht: Wenn personenbezogene Daten abgefischt worden sind, wird es auch noch Fakemails anderer populärer Portale geben.
Email als B2C-Kommunikation steht doch so gut wie vor dem Aus.
Selbst komplett authentische Mails muss ich schon genau unter die Lupe nehmen – für mich und die nicht ganz so internetaffine Familie
„Inhalt der Datenbank: Daten“
Da setzt man alles daran seine Daten beisammen zu halten und dieser Drecksladen lässt sich gleich die Datensätze von 140 Millionen Kunden klauen. Noch schlimmer ist das man als Kunde davon erst aus den Medien erfährt. Richtig übel wird es aber wenn man bedenkt das Paypal aus dem gleichen Stall kommt. Angesichts das Datensicherheit und Krisenmanagement bei denen einer Katastrophe gleichkommen, sollte man sich Fragen, ob man auch in Zukunft die Dienste solcher Dilettanten in Anspruch nehmen möchte.
Wer hier die Nutzer anpflaumt die auf diesen Scam reinfallen, sollten bitte noch einmal in sich gehen. Ebays vorgehen war unter aller Sau bisher und ich sehe das als guten Grund an sich möglichst weit von dieser Bude zu entfernen.
Es gibt Startups mit 2-3 Leuten die ein Sicherheitsleck besser handeln können.
Über eBay zu verkaufen hat in den letzten Jahr eh schon nichts mehr eingebracht und so eine Unverzeihbarkeit wird eBay den Todesstoss versetzen (bei den Privatverkäufern)!!
eBay ist tot!!!
@Nik
„Man konnte Passwörter nicht aus KeePass kopieren.“
Genau so habe ich das aber gemacht (inkl. Sonderzeichen ) und bei mir hat es funktioniert.
@FartiBarti Opera und Firefox gestern Abend
ich hab glaub ich 19 Zeichen insgesamt, müsste nachsehen, es gingen nicht alle Sonderzeichen die der KeePass key Generator anbietet.
Bei PayPal war das kopieren auch blockiert aber da stand es dabei.
witzig war dabei dass die nebenstehende Grafik welche die PasswortStärke verdeutlicht längst nicht zufrieden war – nach was jetzt? !
@Hans: „Richtig übel wird es aber wenn man bedenkt das Paypal aus dem gleichen Stall kommt.“
Sehe ich auch so. Ich hatte bei der Gelegenheit auch gleich mein PayPal-Passwort geändert. Aber wenn man das Krisenmanagement und die Informationspolitik von eBay so sieht, dann bleibt ein sehr schlechtes Gefühl.
Die Zeitspanne zwischen Vorfall und Information ist schon hefti und den letzten Satz im Beitrag unterschreibe ich.
Ich bin schon seit Jahren auf der Suche nach einer vernünftigen Alternative. Bis jetzt leider vergebens. Jetzt ist meine Hoffnung wieder da, das endlich alle einsehen das eBay nur reinste Abzocke ist und nur von Geldgeilen Menschen geführt wird und man endlich eine gescheite Alternative findet.
Caschy, vielleicht könntest du ja mal nen kleinen Beitrag schreiben zu Alternativen, das wäre toll.
Also nichts für ungut, aber es heißt schon Ewigen Zeiten, BRAIN. Und es hieß auch schon immer niemals Links anklicken (vorher Bank heute EBAY oder ???), sondern immer auf die Original Seite gehen, oder im Zweifelsfall anrufen. Daher niemals Daten eingeben die von einem Link in einer Mail oder sonstwo herkommen. http://brain.yubb.de/
Alte aber immer noch sehr aktuelle Seite.
@caschy Auch Dir sollte das doch klar sein, daher wundert mich dein Beitrag. Du solltest auch schon so lange im Internet wie ich sein.
Nur mal so. Copy & Paste gehen nur wenn man noscript hat. Ohne wird es blockiert. Und es gehen nur 20 zeichen.
Nur das steht nicht da. Passwort wird einfach abgeschnitten. Ich habe auch 7 versuche gebraucht das Passwort zu ändern.
Das ist extrem Schwach von ebay. Nun ist mein Passwort Schwächer als vorher. Dank nur 20 zeichen. Das Copy und Paste zu blocken ist auch sau blöde. Wer will schon 2 mal 20 Stellen eintippen. Oder mehr.
Da man keine vorher benutzen Passwörter bei ebay wiederverwenden kann, müssen diese ja auch noch irgendwo gespeichert sein und sind somit wahrscheinlich auch gestohlen worden. Sowas wird auch einfach tot geschwiegen!