A empresa californiana pediu que seus usuários mudassem suas senhas de acesso para proteger as informações pessoais. A empresa declarou, no entanto, que "não tem provas" de que os hackers tiveram acesso a dados financeiros ou vinculados a cartões de crédito dos usuários.
Em um comunicado, o eBay informa que a base de dados estava comprometida entre o fim de fevereiro e o início de março, o que "inclui nomes, senhas criptografadas, endereços de e-mail, endereços físicos, número de telefone e datas de nascimento dos clientes". Mas acrescenta que a base "não contém dados financeiros e outras informações confidenciais pessoais".
Uma porta-voz da eBay afirmou que o ciberataque não afetou as informações do PayPal, a unidade de finanças e pagamento da empresa. Ela destacou que os dados do PayPal são armazenados de forma separada. "Até o momento, não podemos dar detalhes sobre a quantidade específica de contas afetadas", declarou a porta-voz, Kari Ramirez, em um e-mail.
"No entanto, acreditamos que pode haver um alto número de contas envolvidas e pedimos a todos os usuários do eBay que mudem suas senhas de acesso", ressaltou. O ataque, que potencialmente afeta os 128 milhões de usuários do site, pode ser o maior contra um distribuidor varejista, meses depois de a gigante do setor Target ter revelado um ataque com capacidade para atingir mais de 100 milhões de usuários.
A Target informou ter detectado há duas semanas que "credenciais de acesso de funcionários estavam comprometidas" e abriu uma investigação. "Os hackers comprometeram uma pequena quantidade de credenciais de acesso de funcionários, permitindo o acesso não autorizado à rede corporativa do eBay", destacou a companhia.
O comunicado afirma ainda que a empresa "analisa exaustivamente o assunto e aplica as melhores ferramentas e práticas de investigação para proteger os clientes", ao mesmo tempo em que trabalha com agentes da lei e especialistas em segurança. "A segurança da informação e a proteção dos dados dos usuários são de primordial importância para a eBay Inc., que lamenta qualquer inconveniente ou preocupação que esta mudança de senha possa provocar aos nossos clientes", afirma."Sabemos que nossos clientes nos confiam informações e levamos a sério nosso compromisso de mantê-las em segurança e confiança no mercado global", conclui a empresa.
O anúncio foi feito em meio à confusão sobre o ataque. A companhia publicou uma declaração, depois a retirou e emitiu uma nota à imprensa, afirmou o consultor sobre segurança Graham Cluley, com escritório em Londres. "A gestão do incidente por parte do eBay até agora foi um pouco desordenada, com um vazamento aparentemente acidental mais cedo nesse dia", afirma Cluley em seu blog. "Vamos esperar que, no futuro, a resposta da empresa a este incidente de segurança seja um pouco mais organizada", acrescentou. Após o ataque, Cluley indicou que os usuários devem atualizar seu cadastro com uma senha mais difícil de violar.
"Claramente, o eBay teme que as senhas que existem na base de dados atacada - embora encriptadas - possam ser facilmente decifradas e caiam nas mãos de criminosos inescrupulosos", advertiu.
"Além disso, embora nenhuma informação financeira tenha sido comprometida, parece que outras informações pessoais identificáveis também foram expostas".
Em um estudo divulgado nesta quarta-feira, a empresa de segurança Trustwave afirma que identificou 691 ataques em 24 países em 2013, em alta de 53,6% em relação aos incidentes detectados em 2012."Na maioria dos casos que investigamos, o objetivo dos criminosos eram os cartões de crédito", afirma o documento.
"Uma rede global em expansão permite a rápida monetização da informação roubada, independentemente do local em que a vítima ou o criminoso residam. Enquanto os criminosos puderem ganhar dinheiro roubando informações sensíveis para vendê-las no mercado negro, não devemos esperar que os riscos que pesam sobre esses valiosos dados diminuam", advertiu.
<--[if gte mso 10]> <[endif]-->