A distanza di poche ore dall’annuncio ufficiale, eBay ha contattato tutti i propri clienti per notificare l’avvenuta violazione dei server e per informare la community circa le modalità con cui modificare la propria password. Il problema è infatti noto: alcuni cracker hanno avuto accesso al database, le password criptate sono finite nelle mani dei malintenzionati ed a questo punto la frittata è completa.
Recita la mail: «Gentile utente eBay, per garantire la sicurezza e la fiducia dei nostri clienti sul nostro sito, stiamo chiedendo a tutti gli utenti eBay di reimpostare la propria password. Queste sono le ragioni: di recente, abbiamo scoperto un attacco informatico alla nostra rete. A seguito di tale attacco, un database che include le password degli utenti eBay è stato compromesso». Segue un’affermazione utile a smorzare la sensazione del pericolo, pur senza limare in alcun modo l’urgenza dell’intervento: «È importante sapere che non abbiamo trovato prove di accesso alle tue informazioni finanziarie o della loro compromissione. In aggiunta, la tua password era criptata».
La mail inviata agli utenti continua con un maggior dettaglio su quanto accaduto, rivelando però nulla più di quanto già ufficializzato nelle prese di posizione dei giorni passati:
Cosa sappiamo: l’attacco è avvenuto tra la fine di febbraio e l’inizio di marzo, e ha portato all’accesso non autorizzato di un database degli utenti eBay che include il loro nome, password criptata, indirizzo postale, indirizzo email, numero di telefono e data di nascita.
Il file non conteneva informazioni finanziarie. Dopo avere condotto verifiche e analisi più approfondite sui nostri sistemi, non abbiamo trovato prove che le informazioni finanziarie o delle carte di credito dei nostri clienti siano state coinvolte e,per di più, non abbiamo nessuna indicazione che ci sia stato un picco significativo nell’attività fraudolenta sul nostro sito.
Infine, eBay ricorda come il cambio della password sia una precauzione necessaria poiché nessuna garanzia può essere fornita dal momento in cui il database è entrato nelle mani dei cracker. Queste le modalità da seguire per il completamento delle operazioni:
Se hai visitato eBay senza essere registrato, nessuna password è stata archiviata.
Se hai usato la stessa password per eBay e altri siti, ti consigliamo vivamente di cambiare la password anche su questi siti. Se sei un utente PayPal, non ci sono elementi che provino che quest’intrusione abbia coinvolto il tuo conto PayPal o delle informazioni finanziarie relative a PayPal, poiché sono criptate e archiviate su una rete sicura separata.
La firma finale è di Devin Wenig, Presidente eBay Marketplaces, al quale sono così toccate le scuse per quanto accaduto e la promessa di un impegno sempre maggiore a tutela della sicurezza degli utenti che accedono al marketplace.