eBay1亿4千万用户资料恐外泄!五个问题请教 eBay…

Sammi888

这几天的大新闻eBay用户帐密数据库遭黑客攻击1亿4千万用户个资恐泄漏,eBay于5月21日在官方博客紧急发布公告坦言:“该数据库在二月底和三月初受到攻击，范围包括 eBay的客户姓名、密码、电子邮件地址、实际地址、电话号码和出生日期”这些用户数据都有可能泄漏，报导推测此次事件恐怕超过了去年12月美国第二大连锁商店Target遭黑客攻击所影响的1.1亿客户，eBay遭黑客攻击事件将成为美国史上最大一宗资料外泄事件。

如果你正在制作高知名度的数据外泄事件列表，你现在有个新名字可以加进列表里了：eBay。在他们网站新闻中心的一篇文章里，eBay在一定程度上确认了数据外泄的规模，虽然标题上看不出来。
虽然调查还在进行中，目前的新闻显示eBay大致确认只有一个数据库遭到未经授权的存取，至少新闻内的用词是这样的意思。现在，如果你是个eBay使用者，你将会需要变更你的密码。如果你在其他网站上也用了一样的密码，那你也要在那些网站上变更密码。不幸的是，变更名字或地址就没那么容易了，所以这些部分所受到的危害还是没有改变。
eBay，有一些问题要问你：
1、 如果所有的敏感数据都存放在单一的数据库上，为什么没有加密。事实上，为什么没有跨多个数据库的加密？但我们有注意到，“所有的PayPal金融数据都是加密的”，还在执行两层式的系统吗？
2、如果你要告诉我们，它是加密的，但攻击者取得了数据库的登入凭证，那为什么这些重要的系统没有使用双因子身份认证？
3、为什么只靠被攻击的登入凭证就可以存取企业网络？再一次，多因子认证呢？
4、为什么具备eBay这样资源的组织需要花上三个月来发现数据被不当存取过，更不用说还被窃走？入侵外泄侦测系统在哪里？
5、我们的密码是怎样“加密”的？我们想要细节。我们想知道是用哪种算法以及是如何加料（Salted）的。我们想知道我们的密码会被暴力破解的实际机率，这样我们才能准确的评估我们的受害程度，并提供实用的建议给别人。
另外，一开始的账号被攻击是怎么发生的，你要如何确保这不会再发生？
有效的安全性已经不再是想要去设计出可以永久阻绝攻击的架构了，这只是痴人说梦而已。如果他们想进入，他们就会做到。有效的安全性是接受可能被攻击的现实，将系统和流程整合以让你可以及时发现和反应，关键是，你要让攻击者极难带走他们原本想要的目标。你又是怎么做的呢？
你在新闻声明结尾中提到：“相同的密码绝对不要在不同网站或账号上使用”。我们同意。我们要以此来结束“声明”。
敏感数据，尤其是你被信任而持有的数据，都应该要加密，没有例外。
噢！还有，如果你发出提供链接来让我们点入以变更密码的电子邮件。那你就永远地从我们进行圣诞购物的选择中除名了。