eBay, password a rischio (update)

eBay ha pubblicato un messaggio destinato a creare immediato allarme: sia sul proprio sito che sul sito della controllata PayPal, infatti, viene notificata la necessità di cambiare la password utilizzata sui propri account. La situazione non sembra però essere del tutto chiara, poiché, titolo a parte, il messaggio appare senza contenuto alcuno.

Non solo: il messaggio nel quale viene richiesto di cambiare le password è rimasto senza descrizione alcuna per alcuni minuti, per poi scomparire completamente da entrambe le pagine su cui era apparso. La sensazione è che possa trattarsi di un semplice (ma clamoroso) errore, e sarebbe questa la migliore delle ipotesi. L’altra possibilità è invece che sia in atto una qualche forma di attacco informatico che ha messo in pericolo gli account eBay o PayPal, identificando pericoli di sicurezza che andrebbero a incidere direttamente sul denaro (o sui dati personali) degli utenti registrati.

Per precauzione potrebbe essere utile cambiare comunque la password in uso, ma in assenza di comunicazioni immediate è probabilmente più saggio attendere poche ore in attesa di istruzioni più precise: la scomparsa dei messaggi dalle comunicazioni ufficiali eBay sembra avvalorare l’ipotesi dell’errore più di quella della vulnerabilità dei sistemi.

Update 1: la violazione è confermata

Non si è trattato di un errore. eBay è finalmente intervenuta ufficialmente spiegando di essere stata oggetto di un attacco cracker che ha compromesso un ampio database contenente password crittografate ed altri dati non finanziari. Si è trattato di un piccolo attacco che ha permesso l’accesso alla rete aziendale del gruppo sfruttando alcuni account di dipendenti eBay vittime della violazione originale.

Il database è stato compromesso tra febbraio e marzo e conteneva tra le altre cose nomi dei clienti eBay, le password criptate, indirizzi email, numeri di telefono, indirizzi abitativi e date di nascita. Nessuna operazione illecita di natura finanziaria sarebbe stata compiuta, ma la portata dell’attacco è comunque vasta ed interessa un altissimo numero di utenze.

eBay, che nel frattempo sta investigando sull’accaduto, contatterà tutti gli utenti via email chiedendo loro di modificare le password d’accesso al proprio account.

Update 2: PayPal non è coinvolta

PayPal, pur notificando la violazione avvenuta sui database eBay, conferma il fatto che i propri database sono invece gestiti a parte, criptati e in ogni caso non coinvolti da quanto accaduto. La sola utenza eBay dovrà dunque cambiare la password e sarà contattata dall’azienda, mentre l’utenza PayPal non deve temere alcuna ripercussione sul proprio portafoglio online.