ebayIn un giorno ordinario,  leggendo qua e la su internet sono incappato in una notizia che mi ha lasciato sbalordito. eBay ha subito un attacco informatico, rubati 150 milioni di dati degli utenti. I miei occhi si sono sgranati e tutto quello che mi circondava si è fermato per pochi secondi.

eBay, si ho letto bene.

eBay uno dei più grandi ecommerce del mondo, capitale da miliardi di dollari e milioni di utenti. Sono andato subito a informarmi sui dettagli e su cosa fosse successo. Leggendo sulle pagine di ebayinc.com precisamente qui http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/ in pratica, ammettono i loro errori e dichiarano pubblicamente che è avvenuto un attacco informatico e la cosa che mi ha lasciato senza parole, ancora non hanno capito come è stato possibile!

Ebay che dovrebbe avere i migliori esperti di sicurezza i migliori device di sicurezza e ancora devono capire come hanno fatto a bucarli?

After conducting extensive tests on its networks, the company said it has no evidence of the compromise resulting in unauthorized activity for eBay users, and no evidence of any unauthorized access

Gestione degli errori

1. Dichiari pubblicamente che ancora non hai capito come hanno fatto a fregarti il database.

2. Chiedi ai tuoi utenti, circa 150 milioni, di cambiare la password al proprio account, dimenticandoti del punto 1. “Phisher, ringraziate!”.

3. L’attacco è avvenuto a Febbraio/Marzo. Siamo a Maggio! Ti sei accorto di accessi abusivi con le credenziali dei tuoi dipendenti 2 settimane fa. Ma gli esperti di sicurezza? Gli alert? Policy di default?

4. Perchè tutti i dati di Paypal sono criptati mentri tu gestisci ancora dati in chiaro?

5. Chiedi un cambio password dopo 2 mesi e presumi che in 2 mesi nessuno abbia già fatto come voleva con i nostri dati?

No, cara eBay mi dispiace ma hai gestito tutto malissimo. Troppa fretta. Talmente troppa fretta che qualcosa non torna. Se leggessi le dichiarazioni rilasciate sotto un’altra prospettiva, è come se stessi dicendo, “cari hacker, non ho capito come mi avete rubato tutto, perchè non lo rifate?Cosi magari adesso che ho tirato su centinaia di honeypot lo capisco anch’io?”

Non credo siano così stupidi. No dico, gli hacker.