eBay gehackt?

[MSX]

elgitarre, nein, weder unlösbar, noch meine ich, das so geschrieben zu haben. Mir gings mehr darum, daß ich nun unnötige Arbeit hab. Und wenn es mit einem simplen Anruf bei der Hotline getan wäre, um einfach mal irgendwelche Accounts löschen lassen zu können, dann würde mir das fast schon eher Sorgen bereiten als ein Hack. ;-)
Da kommt also nun mehr Arbeit auf mich zu, als einfach nur irgendwo anzurufen.

 

[gelöschter Benutzer]

klar, du musst deine Identität bestätigen.
Und?
Ist dir das zu viel?
So viel Aufwand ist das doch auch nicht.
Wenn dir da was ungeheuer ist, oder dann nimm diesen Aufwand in Kauf.

 

[MSX]

Keine Ahnung, was Du eigentlich von mir willst. Da steht doch nirgendwo, daß ich nun vor unlösbaren Problemen stünde, oder Hilfe beim Bearbeiten eines alten Accounts bräuchte. Das war ne Anmerkung im Sinne von "Super, jetzt hat mancher/ich Arbeit, wo keine sein müsste.", mehr nicht.

 

[gelöschter Benutzer]

ahso, dann habe ich das womöglich falsch interpretiert.
Sorry!

 

[Abul]

Es geht schon mit Phishing-Mails los. Das wird für viele (vorrangig unerfahrene) Nutzer noch zum Albtaum werden fürchte ich.

Und wo wir gerade bei eBay sind, die haben da eine XSS-Lücke seit 2 Monaten offen.

 

[pspzockerscene]

Also vor 2 Tagen hab ich mein Passwort geändert und eben kam eine Mail von eBay@reply.ebay.de, ich solle mein Passwort ändern.
Da die Mail keinerlei URLs enthält gehe ich davon aus, dass sie echt ist - man sind die spät dran!
GreeZ psp

 

[thom53281]

Ich habe die Mail ebenfalls erhalten. Da unten im Footer der passende Realname inkl. zugehörigem Mitgliedsnamen steht, hätte ich auch gesagt, dass sie echt ist (Konto wird auch kaum benutzt). Das Passwort habe ich natürlich schon längst vorher geändert. Wenn das in der Mail genannte stimmt, dann sind sie aber wirklich mal extrem spät dran:

Die Attacke ereignete sich zwischen Ende Februar und Anfang März und hatte zur Folge, dass unrechtmäßig auf eine Datenbank mit eBay-Nutzerinformationen zugegriffen wurde – einschließlich Kundennamen, verschlüsselter Passwörter, E-Mail-Adressen, Postadressen, Telefonnummern und Geburtsdaten.

2 Monate.


Grüße
Thomas

 

[bevoller]

Ich habe die Mail ebenfalls erhalten. Da unten im Footer der passende Realname inkl. zugehörigem Mitgliedsnamen steht, hätte ich auch gesagt, dass sie echt ist (Konto wird auch kaum benutzt).

So will ebay ja auch die Echtheit einer Email "beweisen".
Halte ich allerdings nicht für ein wirklich gutes Kriterium. Denn die entwendeten Daten enthalten ja anscheinend alle persönlichen Daten. Wenn nicht gerade ein absoluter Stümper diese Phishingmails versendet, wird er das Ausshen der Mails entsprechend anpassen und natürlich auch den passenden Namen in die Mail schreiben.

PS: Links oder keine Links würde ich auch nicht als Kriterium für die Echtheit heranziehen.
Ich habe mein Passwort geändert und dazu eine Bestätigungsmail erhalten. Dort sind natürlich auch Links enthalten und als "Beweis" mein Realname und mein Nick aufgeführt.

 

[gelöschter Benutzer]

einfach direkt auf der ebay-Seite das Passwort ändern und gut ist.

 

[bevoller]

Das hättest du vielleicht mal besser tun sollen, bevor du klugscheißerst. Du kriegst nämlich in jedem Fall mindestens eine Email.

Nachtrag zu oben:
Interessant dürften die Daten natürlich auch für Spam-Versender bzw. Adresshändler sein. Empfehlenswert ist dazu Quarks & Co vom Dienstag (WDR 20.05.14) mit dem Thema Big Data.
Die Anschrift ist demnach ungefähr 5,-€ wert und wenn ein User sich abnehmwillig zeigt, ist das sogar bis zu 8,-€ wert.

Gibts vielleicht (bald) auf einschlägigen Websites oder ist vielleicht noch in der Mediathek verfügbar.

 

[thom53281]

PS: Links oder keine Links würde ich auch nicht als Kriterium für die Echtheit heranziehen.
Ich habe mein Passwort geändert und dazu eine Bestätigungsmail erhalten. Dort sind natürlich auch Links enthalten und als "Beweis" mein Realname und mein Nick aufgeführt.

Natürlich sind Realname+Mitgliedsname kein perfekter Beweis für die Echtheit der Mail, in dem Fall aber imho ausreichend.

Die E-Mail zur Passwortänderung forderst Du aktiv an. Die Wahscheinlichkeit, dass Du genau zu dem Zeitpunkt eine Spammail mit einem Passwortänderungslink bekommst, ist schon wirklich extrem gering. Und selbst wenn, Du tippst in dem Fall nur Dein neues Passwort ein. Ist es also eine Fake-Seite, bekommt sie nur Dein neues Passwort, welches in dem Fall aber nicht bei Ebay hinterlegt wird.

Edit: Wobei, eine Fake-Seite könnte natürlich auch das alte Passwort verlangen. Trotzdem extrem unwahrscheinlich.

Ansonsten sehe ich die Echtheit der Hinweis-Mail schon für gegeben. Natürlich kann auch jeder andere den Mitgliedsnamen und Realnamen da reinschreiben wenn er ihn kennt. Aber warum? Es gibt keinen Anhang und keine Links. Niemand schenkt seine gestohlenen Daten her, ohne dass er einen sinnvollen Hintergrund hat.


Grüße
Thomas

 

[gelöschter Benutzer]

Das hättest du vielleicht mal besser tun sollen, bevor du klugscheißerst. Du kriegst nämlich in jedem Fall mindestens eine Email.

ob ich ne email bekomme oder nicht ist mir doch juck (ich habe eine email bekommen...)

Ich würde einfach NIE
- links in mails anklicken die mich auffordern mein Passwort einzugeben oder zu ändern.

dann würde ich weniger labern, und einfach:

- passwort im ebay-Bereich direkt ändern

was ich danach oder davor für mails bekomme ist recht irrelevant.
Man kann alles totreden und verkomplizieren. Klar, dass du der Theroiekönig bist, das warst du schon immer und wirst es wohl auch immer bleiben.
Manchmal geht es aber einfach darum eine einfache und sichere Lösungen zu finden.

Klar kann man jetzt auch wieder 3 Seiten darüber sinnieren wie man eine echte email von einer fake-email unterscheiden kann.
Trotzdem bleibt, manches macht man einfach nicht.
Gewisse Regeln einhalten und man lebt einfach sicherer.