Hace unos días, eBay admitió que había sido víctima de un ciberataque. Como consecuencia, la compañía estadounidense pidió a sus 145 millones de usuarios que cambiaran sus contraseñas. Sin embargo, según las últimas informaciones, esto no es suficiente ya que los hackers tienen información personal de los mismos.
La buena noticia es que eBay ha confirmado que no han conseguido acceder a ningún dato bancario o tarjeta de crédito. Los datos financieros que los usuarios ceden a la web de compra-venta están almacenados en otro tipo de servidores que no han sido hackeados. De hecho, ha comunicado que ni siquiera los datos de PayPal han sido robados. La mala noticia es que la información que han robado sigue siendo importante.
Distintos portavoces de eBay han afirmado que hay muchas personas afectadas por este ataque cibernético, incluso las cuentas que actualmente están inactivas. El ataque se produjo entre finales de febrero y marzo la información robada incluye nombres, apellidos, contraseña, fecha de nacimiento, dirección y correo electrónico. Este tipo de bases de datos son mucho más complicadas de cambiar, así que los consumidores todavía están en riesgo.
De hecho, tal y como han demostrado los expertos, la unión de cualquiera de esos datos a un poco de imaginación y un sistema con una ingeniería social anticuada puede hacer mucho daño a los afectados. Esto se debe a que muchas preguntas para el restablecimiento de una contraseña implican un número de teléfono, una fecha de cumpleaños o una dirección física. Es decir, les facilitaría mucho las cosas a los criminales en el caso de que quisieran hackear una de tus cuentas, al igual que podría utilizarse para los esquemas de robo de identidad.
Por el momento, sólo se ha puesto a la venta una supuesta identidad de uno de los usuarios de e-Bay. El vendedor pide 555 euros, a cambio de una supuesta lista de registros únicos. La compañía ha declarado que está información es falsa y que no hay que alarmarse, de momento. De hecho, parece que estas listas con información personal serán vendidas en mercados clandestinos, mucho más difíciles de localizar.
Las direcciones de e-mail que estén en esta lista recibirán más spam, o correo basura, del habitual. Éste puede incluir ataques de phising dirigidos a robar datos de acceso o a la propagación de software maligno. Además, estos datos pueden ser una mina de oro para los estafadores telefónicos. Teniendo toda esa información, los grandes artistas de la estafa, pueden convencer a los usuarios de darles más datos financieros y provocarles un agujero en sus cuentas.
Lo más preocupante de esta situación es que el único dato que eBay tenía cifrado era la contraseña de los usuarios. Dependiendo del tipo de encriptado que usen desde la compañía, entrar en el sistema puede ser más fácil de lo que parece. Por eso es chocante que la empresa decidiera no cifrar el resto de la información, ya que cualquier usuario que desee comprar o vender algo en esa plataforma se ve obligado a dar ese tipo de datos.